谷歌叫你来找bug!不会的还包教!

Vulnerability Rewards Program,即漏洞赏金计划(VRP),是目前很多科技公司查找自家漏洞的主要方法之一。谷歌自其漏洞奖励计划年底启动以来,已经累计为全球2022名安全研究人员提交的11055个漏洞发放了接近3000万美元的奖金,约合人民币1亿9千万余元。

 

近日,再漏洞奖励计划的周年纪念日之际,谷歌推出了自己的最新漏洞悬赏平台——Google Bug Hunters,推进与更多安全研究人员的合作。据谷歌官方消息,该平台用以管理之前所有的VRP计划下的漏洞报告,其中包括AndroidGoogleChromeGoogle PayAbuse等,进行统一管理后,提供一个单一入口让大家更方便提交Bug报告。

 

Google Bug Hunters平台不仅仅整合了其旗下所有产品的漏洞悬赏,还有了一些新特征:

 

1. 该平台推出了更加啊实用、美观的排行榜,可以按照国家或者时间查看获得奖励最多的bug hunters。谷歌希望这个排行榜也能成为bug hunters的背书,能够依靠VRP的成就找到工作。

 

2. 平台还推出了Bug Hunter大学,更加强调研究人员自我学习能力。它会有一些常见bug的说明,帮助你从0开始也能搜索目标。因而不论大佬小白都可以参与到这个项目中,无效的bug也特别作了说明,以节省时间。

 

3. 平台的漏洞发布流程也大大简化。既方便了研究人员提交漏洞报告,也方便了公司进行相关报告的查看。

 

Bug Hunters提交了每一份报告,都会被位于总部的谷歌安全工程师们亲自进行审核。这个审核小组中的一部分成语就是通过提交漏洞报告后被批准加入的。

 

工程师们花费了两年左右的时间搭建好这个平台,而一位bug hunter仅仅用了数小时便率先发现了该平台的私有API接口。不得不说群众的眼睛才是雪亮的啊。

 

相信大家都对这个平台非常感兴趣,那我们就来简单介绍一下它的规则吧。首先该平台针对不同的项目有着不同的规则,划分非常详细,我们就以Chrome为例作一个介绍。

 

首先漏洞查找的范围:由于Canary版的Chrome本身便会频繁回归测试,所以请尽可能在stablebetadevchrome上找bug。当然谷歌提供或在使用中的第三方组件,包括但不限于PDFiumadobeflashLinux内核等之中也可以。

 

接着便是一些查找和报告的注意事项:

1.找到了bug请在自己的终端上进行测试,请勿到他人处进行破坏。

2.不可将发现的bug提前公布,否则没有赏金,除非是为了修bug而不得已的情况下。一般bug在被标记为已修复后的14周后才会被公布。

3.所有报告现在都必须通过该平台的统一规则进行提交,无需额外加密。报告质量需要过关,包括测试用例最小化、潜在风险证明、潜在原因分析、修补方法建议等等。

4.在多分相同漏洞报告中,由跟踪器最终追踪到的最早提交的报告为准。

5.谷歌相关业务人员提交漏洞后可能不会获得奖励资格。

 

说完了规则,那么接下来就是最重头的赏金额度了。总的来说,一般的额度都在500美元到15万美元不等,约合人民币3200元到97万元不等,特殊的情况将会进行特俗的分析。谷歌将漏洞奖励划分为10种类型,每一种漏洞按照等级被分作三档额度。在chrome中奖金最高的是沙箱逃逸(Sandbox escaper)和内存损坏(Memory corruption)。而12个月仍未被认领的奖金将会被捐给慈善机构。

 

是不是发现了新的赚钱机会?你说你不会?没关系,可以移步我们官网看看,上面有很多免费课程,从0基础开始带你成大神!


实战教学·项目驱动

132 2811 3191
预约免费试学
点击咨询
预约试学