什么是漏洞赏金以及如何领取？

漏洞赏金让发现计算机软件和服务中的安全漏洞的人获得金钱奖励。那么，成为一名漏洞赏金猎人需要具备哪些条件，并且您能以此谋生吗？

什么是漏洞赏金计划？

我们每天使用的软件和服务都是由人类编写的，他们常常在压力下启动和运行他们的代码，以便企业可以赚钱。虽然现代软件开发方法导致软件几乎没有严重问题，但一小群开发人员无法预见每一种可能性或看到每一个错误。

将此与寻找该代码装甲中每一个可能的漏洞的黑客大军进行比较，很明显为什么需要漏洞赏金计划。这些计划为在所提供的应用程序和服务中发现可信漏洞或其他符合条件的问题的人提供奖励。

原则上，谁发现漏洞或利用并不重要。重要的是公司知道它并在它导致真正的损害之前解决问题。实际上，漏洞赏金最常由专业安全研究人员领取。这些专家有意尝试发现系统中的弱点，并获得报酬或预先为公司进行“渗透测试”。

这并不意味着如果发现问题就不能报告，但您需要查看提交要求并查看您是否拥有报告问题所需的技术信息。

申请漏洞赏金的过程以及获得奖励的资格因程序而异。相关公司为其认为值得付费了解的问题制定规则。它还将设置正确的格式来报告该问题，以及复制和验证问题所需的所有信息。

经核实的报告所值的金额也会有所不同。有些公司规模庞大，安全预算也很大。其他一些是小型企业或初创公司，它们依靠漏洞赏金计划来弥补其相对较小的永久性网络安全人员补充。在这种情况下，赏金可能会更适度。

检查您是否遇到可报告漏洞的第一个地方是生产相关产品或提供相关服务的公司网站。通常只有非常大的公司才会运行和管理他们自己的漏洞赏金计划。

规模较小的机构更有可能使用专门的漏洞赏金服务。例如，HackerOne 的漏洞赏金计划列表推广来自通过该网站管理的各个公司的计划。

如果您访问了上面链接的 HackerOne 漏洞赏金列表，您可能已经注意到每个程序都列出了最低赏金金额。如果你打开其中一个程序，你会看到平均赏金支付以及奖励等级的统计数据，具体取决于漏洞的严重程度。

低、中和高严重性问题可能会净赚几百到一千美元，而严重的漏洞可能会损失几千美元。

多年来已经支付了一些真正令人震惊的赏金和大量优惠，但这有点像中了彩票。您需要成为遇到百万分之一漏洞的人，并且必须在拥有这种现金的大玩家的系统中。如果你想靠漏洞赏金谋生，你更有可能从系统渗透测试中出现的常见小漏洞中获得稳定的收入。