Вознаграждение за ошибки — денежная выплата за обнаружение и сообщение о дырах в безопасности программного обеспечения. Если у вас есть опыт работы с протоколами безопасности, вы можете заработать дополнительные карманные деньги, охотясь за ошибками в популярных приложениях и на веб-сайтах.
Это также отличный способ отточить свои навыки и построить репутацию эксперта по безопасности — до такой степени, что вас могут нанять компании ( или даже американское правительство ). Вот лучшие программы баунти баг, доступные в 2016 году.
Высокие выплаты за баги
Для целей данной статьи за вознаграждение с высокой выплатой можно заплатить более 5000 долларов за один отчет. На практике получение таких высокооплачиваемых премий может быть чрезвычайно сложным, а отчеты действительно могут привести к гораздо более низким выплатам.
1. Microsoft
На момент написания этой статьи у Microsoft на самом деле есть пять отдельных программ по предоставлению ошибок, три из которых помечены как «текущие», а две — с определенными датами окончания. Мы только перечислим текущие награды ниже.
Это одни из самых высокооплачиваемых наград в настоящее время.
- До $ 15 000 за вознаграждение за онлайн-услуги .
- До 100 000 долларов США за обходной бонус .
- До 100 000 долларов за награду за оборону .
2. Facebook
В 2014 году Facebook выплатил более 1 миллиона долларов за то, чтобы охотиться за головами охотников за головами, и это просто показывает, сколько денег Facebook хочет бросить в свои дыры в безопасности. Эта компания серьезно относится к защите своей платформы.
- Минимальная выплата составляет 500 долларов.
- Максимальная выплата не существует. В зависимости от серьезности вы можете заработать до 30 000 долларов и более за вознаграждение .
3. Google
Программа вознаграждения за ошибки Google охватывает уязвимости в Google, YouTube и Blogger. Обратите внимание, что есть множество людей, которые охотятся за ошибками в Google, поэтому поиск одной из них с большими выплатами может показаться панорамированием золота.
- Минимальная выплата составляет 100 долларов.
- До 7500 долларов США за серьезные ошибки клиент / сеанс.
- До 20 000 долларов США за серьезные ошибки доступа к серверу.
4. Хром
Google также предлагает вознаграждение за ошибки, найденные в браузере Chrome. Любые ошибки, которые существуют в каналах Chrome «Стабильный», «Бета» или «Dev», наряду с любой ошибкой, которая существует в стороннем компоненте Chrome, имеют право на вознаграждение.
- Минимальная выплата составляет 500 долларов.
- До 4000 долларов за утечку информации.
- До 15 000 долларов США за серьезные проблемы.
- Бонус: вознаграждение в размере 100 000 долларов за любого, кто может скомпрометировать Chromebook или Chromebox. в гостевом режиме, который сохраняется между перезагрузками устройства.
5. Pornhub
Независимо от того, как вы относитесь к порнографии — , с , , , это трудно отрицать , что недавно annoucned ошибка программа Баунти PornHub является заманчивой — и так как это настолько новый, может быть много ошибок, ожидающих быть обнаруженными.
- Минимальная выплата составляет 50 долларов.
- До 5000 долларов США за серьезные проблемы в поддоменах, блогах и других связанных свойствах Pornhub.
- До 25 000 долл. США для серьезных проблем на сайтах Pornhub и Pornhub Premium, а также мобильного приложения Pornhub.
6. Yahoo
Несмотря на то, что Verizon недавно приобрела Yahoo, , программа по борьбе с ошибками все еще работает, и нет никаких новостей, указывающих на то, что она будет закрыта в ближайшее время. В число общих свойств входят Yahoo, Flickr, Polyvore и другие.
- Минимальная выплата составляет 50 долларов.
- До 15 000 долларов США за серьезные проблемы.
7. Мозилла
Mozilla предоставляет множество ошибок для дыр в безопасности в следующих клиентских программах: Firefox, Firefox для Android, FirefoxOS и Thunderbird. По большей части, только «критичные для безопасности» ошибки имеют право на награды.
- Минимальная выплата составляет 500 долларов.
- До 2000 долларов за умеренные проблемы.
- До 7500 долларов США за критические проблемы.
- Более 10000 долларов США за исключительные проблемы.
8. Dropbox
Есть много вещей, которые вы можете сделать с Dropbox , в том числе искать дыры в безопасности. Соответствующие общие свойства включают веб-клиенты, клиенты для настольных ПК, Android и iOS для Dropbox, а также ошибки в Dropbox Core SDK и Dropbox Paper.
- Минимальная выплата составляет $ 216.
- До 10 000 долларов США за серьезные проблемы.
9. Uber
В объявлении для программы Uber Bug Bounty приведена «карта сокровищ», которая дает вам отличную отправную точку для общедоступных сервисов Uber и какие дыры в безопасности нужно искать.
- До 3000 долларов за средние выпуски.
- До 5000 долларов за серьезные проблемы.
- До 10000 долларов США за критические проблемы.
10. GitHub
GitHub превратился в один из самых важных бесплатных инструментов для совместной работы для программистов инструментов для совместной работы для программистов , настолько, что сбои в работе GitHub невероятно дороги для многих компаний. Таким образом, крайне важно поддерживать его в рабочем состоянии.
- Минимальная выплата составляет 200 долларов.
- До 10 000 долларов США за серьезные проблемы с GitHub API.
- До 10 000 долларов США за серьезные проблемы с GitHub Gist.
- До 10000 долларов США за серьезные проблемы с сайтом GitHub.
11. Аваст
Avast не попал в наш список лучших бесплатных комплектов безопасности для Windows комплекты но это все еще популярный выбор во всем мире. Награда распространяется только на ошибки, обнаруженные в самом программном обеспечении Avast: Avast Free Antivirus, Avast Pro Antivirus, Avast Internet Security и Avast Premier.
- Минимальная выплата составляет 400 долларов.
- До 10000 долларов США за серьезные проблемы.
12. PayPal [больше не доступен]
В PayPal есть несколько различных ориентированных на потребителя услуг что все должно быть проверено и поддержано для максимальной безопасности, следовательно, программа баунти бага. В число общих свойств входят дочерние домены PayPal, дочерние сайты, такие как BillMeLater и Billsafe, и некоторые партнерские сайты.
- Минимальная выплата составляет $ 100 для партнерских свойств.
- Минимальная выплата составляет $ 750 за основные свойства.
- До 1500 долларов США за серьезные проблемы с партнерской недвижимостью.
- До 10000 долларов США за серьезные проблемы с основными свойствами.
13. Coinbase
Coinbase является самым популярным в мире местом для покупки и торговли альтернативными валютами, такими как биткойны, дожекойны и другие криптовалюты, Если какой-либо сайт нуждается в программе баунти-багов, она обрабатывает столько же денег, сколько Coinbase.
- Минимальная выплата составляет 100 долларов.
- До 10000 долларов США за серьезные проблемы.
14. Android
Если у вас есть ультрасовременное Android-устройство от Google, и вы знаете, как найти дыры в безопасности операционной системы, эта программа для вас. На момент написания статьи, подходящие устройства включают Nexus 5X, Nexus 6P, Nexus 9 и Pixel C.
- Минимальная выплата составляет 200 долларов.
- До 1000 долларов за низкие выпуски.
- До 2000 долларов за умеренные проблемы.
- До 4000 долларов за высокие проблемы.
- До 8000 долларов США за критические проблемы.
- Бонус: от 10 000 до 50 000 долларов, если вы можете продемонстрировать эксплойт, ведущий к компрометациям в ядре, TEE TrustZone или Verified Boot.
15. ЛИНИЯ
LINE — популярное бесплатное приложение для обмена сообщениями для мобильных устройств. и все, что связано с общением, всегда является рассадником ошибок и эксплойтов. Эти ошибки распространяются только на мобильное приложение LINE Messenger, но не на семейные или игровые приложения, связанные с LINE.
- Минимальная выплата составляет 500 долларов.
- До 10000 долларов США за серьезные проблемы.
16. Flash
Почти смешно, сколько уязвимостей безопасности существует во Flash, настолько, что дошло до того, что использование Flash — просто плохая идея. Хорошей новостью является то, что вам могут заплатить, если вы обнаружите одну из этих многочисленных уязвимостей.
- Минимальная выплата составляет 2000 долларов.
- До 10000 долларов США за серьезные проблемы.
Низкие выплаты за баги
Почему кто-то решил потратить время и усилия на поиск более низкооплачиваемой награды? Что ж, меньшая выплата означает, что вы конкурируете с меньшим количеством людей, что также повышает вероятность обнаружения ошибок, о которых еще не сообщалось.
В конечном счете, вы могли бы на самом деле заработать больше денег, охотясь за наградами с более низкими выплатами, особенно если у вас нет опыта, чтобы бороться с хакерами мирового класса, которые охотятся на ошибки Google и Facebook.
17. Питон
Странно думать о существовании награды за ошибки в языке программирования, но это правда. Internet Bug Bounty Panel предлагает награды за дыры в безопасности, обнаруженные в языках с открытым исходным кодом, включая Python. Только ошибки, найденные в основном языке и стандартной библиотеке, имеют право.
- Минимальная выплата составляет 500 долларов.
- Более 1500 долларов за серьезные проблемы.
18. Apache
Программное обеспечение Apache для HTTP-сервера поддерживает более половины веб-сайтов в Интернете. Хотите помочь сделать сайты немного безопаснее и надежнее? Это отличный способ внести свой вклад.
- Минимальная выплата составляет 500 долларов.
- До 1500 долларов за важные вопросы.
- До 3000 долларов за критические вопросы.
19. Прези
Prezi — одна из лучших альтернатив Microsoft PowerPoint доступно в настоящее время. Количество ошибок доступно для всех веб-служб и серверных служб Prezi, но НЕ доступно для настольных или мобильных приложений Prezi.
- Минимальная выплата составляет 500 долларов.
- Неопределенное увеличение выплат за серьезные проблемы.
20. Площадь
Square — это сервис денежных переводов и обработки платежей. Обработка , и, как уже упоминалось ранее, любая услуга, связанная с деньгами, должна быть максимально безопасной. Свойства в области охвата включают веб-домены Square и мобильные приложения.
- Минимальная выплата составляет 300 долларов.
- До 3000 долларов за серьезные проблемы.
21. Джанго
Разнообразие ошибок, подходящих для программы вознаграждений Django, может быть невелико, но выплаты более чем разумны. Помните, что ваша награда может быть утрачена, если вы сканируете или тестируете серверы Django.
- Минимальная выплата составляет 250 долларов.
- До 1000 долларов за низкие выпуски.
- До 2000 долларов за умеренные проблемы.
- До 3000 долларов за серьезные проблемы.
22. Tumblr
Эта платформа микроблогов будет платить вам за обнаружение ошибок в любых своих сервисах или приложениях: сайте Tumblr, API Tumblr, поддоменах и сервисах Tumblr и мобильных приложениях Tumblr. Выплаты делятся на три уровня.
- Минимальная выплата составляет 200 долларов.
- До 400 долларов за основные проблемы.
- До 1000 долларов за критические вопросы.
23. провисание
Минимальная награда за это может показаться арахисом, но пока найденные ошибки даже отдаленно интересны, вы получите значительную зарплату. В число общих свойств входят сайт Slack, API Slack, а также веб-клиенты, мобильные и настольные клиенты Slack.
- Минимальная выплата составляет 50 долларов.
- Более 100 долларов за низкие выпуски.
- Более 500 долларов за средние выпуски.
- Более 1000 долларов за высокие проблемы.
- Более 1500 долларов США за критические вопросы.
24. BrickFTP
BrickFTP — это решение для размещения файлов для предприятий и корпораций, поэтому, даже если вы никогда не слышали об этом раньше, просто знайте, что от его безопасности зависит множество людей. Выплаты могут не совпадать с Google или Microsoft, но в них тоже нечего чихать.
- Минимальная выплата составляет 100 долларов.
- До 1000 долларов за серьезные проблемы.
25. Spotify
Если вам нравится то, что предлагает и вы хотите помочь, вы можете найти и сообщить о нескольких ошибках для них. Не похоже, что они выплатили слишком много наград за ошибки (до 100), поэтому он последний в нашем списке, но все же стоит проверить.
- Минимальная выплата составляет 250 долларов.
- До 2500 долларов за серьезные проблемы.
Время войны против жуков
Одно дело практиковать хорошие привычки безопасности в Интернете и убедитесь, что вы должным образом защищаете свои личные данные. , но совершенно не нужно использовать любой опыт, который у вас есть, чтобы помочь компании обеспечить безопасность своих данных и протоколов.
И если вы хорошо разбираетесь в этом, вы можете заработать приличную сумму карманных денег — одна большая награда в год, по сути, является доходом неполный рабочий день. Так почему бы не попробовать?
Как вы относитесь к программам за баги? Вы когда-нибудь сами получали награду? Есть ли какие-нибудь программы, которые мы пропустили? Дайте нам знать в комментариях ниже!
Кредиты изображений: Facebook через Shutterstock , Mozilla через Shutterstock , PayPal через Shutterstock , Python через Shutterstock , Tumblr через Shutterstock