編者按：本文來自微信公眾號“InfoQ”（ID:infoqchina），作者 Sambodhi，編輯 Tina。36氪經(jīng)授權(quán)發(fā)布。

Bug 賞金的平均收入是軟件工程師平均工資的 2.7 倍，我們鼓勵你用業(yè)余時間兼職。

6 月 1 日，有報道稱，印度開發(fā)者 Bhavuk Jain 向蘋果安全團(tuán)隊報告了 Sign in with Apple（通過 Apple 登錄）中存在一個零日漏洞，它允許攻擊者遠(yuǎn)程劫持任意用戶賬戶，影響嚴(yán)重。為此蘋果向 Jain 支付了十萬美元的巨額賞金。

在去年的 WWDC 上，蘋果正式推出屬于自己的第三方登錄服務(wù)——Sign in with Apple（通過 Apple 登錄），允許用戶不必填寫表單、驗證電子郵件地址和選擇新密碼從而通過 Apple ID 登陸第三方服務(wù)。截至目前，有許多開發(fā)者已經(jīng)將 Sign in with Apple 整合到應(yīng)用程序中，比如國外的 Dropbox、Spotify、Airbnb、Giphy ，國內(nèi)的喜馬拉雅、懶飯、廚房故事等。

這名開發(fā)者今年才 27 歲，他在一篇博文中聲稱，他于 4 月向公眾披露該漏洞之前，已向 Apple 報告。目前，Apple 已經(jīng)修復(fù)該漏洞，并給他支付了十萬美元賞金，作為 Apple 安全賞金計劃的一部分。

Jain 之前是一位主要使用 React Native 進(jìn)行移動應(yīng)用程序開發(fā)的全棧工程師?，F(xiàn)在，他已轉(zhuǎn)向成為了一名全職漏洞賞金獵人。

賞金致富變得普遍

Bug 賞金平臺 HackerOne 在兩年前發(fā)布了一份調(diào)查報告，涉及到了該平臺上注冊的 1700 名 Bug 賞金獵人，該報告顯示頂級黑客的賞金平均收入是同一國家軟件工程師平均工資的 2.7 倍。

2019 年 8 月，HackerOne 還曾宣布，其平臺的 8 名黑客已成為百萬富翁，其中 19 歲的 Santiago Lopez (@try_to_hack) 于 2019 年 3 月成為第一個百萬富翁。

“現(xiàn)在，英國的 Mark Litchfield (@mlitchfield)、澳大利亞的 Nathaniel Wakelam (@nnwakelam)、瑞典的 FransRosen (@fransrosen)、香港的 Ron Chan (@ngalog)、以及美國的 Tommy DeVoss (@dawgyg) 都已躋身百萬黑客富翁行列，他們都提高了互聯(lián)網(wǎng)安全。”HackerOne 當(dāng)時表示。

來自德國的 Cosmin(@inhibitor181) 和 Eric (@todayisnew) 是今年早些時候（均在 2 月 24 日）公布的第七位和第八位的百萬黑客富翁。

今年 5 月，HackerOne 自豪地宣布：“黑客們通過我們的平臺上進(jìn)行永久的黑客攻擊，已經(jīng)賺取了 1 億美元的 Bug 賞金?！?/p>

該公司首席執(zhí)行官補充說，“由于他們的創(chuàng)造力和堅韌不拔的精神，我們預(yù)計，黑客們將在五年內(nèi)有望獲得 10 億美元的 Bug 賞金?！?/p>

HackerOne 僅一年就支付 5000 萬美元賞金。

如下圖所示，支付給黑客的賞金總額從 2014 年至 2016 年的 1000 萬美元增長到 2017 年至 2019 年的 3000 萬美元，并在 2019 年第二季度至 2020 年第二季度達(dá)到 5000 萬美元。

在使用 HackerOne 來報告安全漏洞的黑客中，有 12% 能做到每年僅通過 Bug 賞金計劃獲得超過 2 萬美元的收入，而 1.1% 的黑客每年能獲得超過 35 萬美元的賞金，有 3% 的黑客每年獲得超過 10 萬美元的賞金。

HackerOne 表示：“我們用了五年的時間才達(dá)到 2000 萬美元賞金的級別，這一數(shù)字是在 2017 年第三季度達(dá)到的（見下面圖表）。”

“從那以后，事情就真的有了起色，接下來的 8000 萬美元賞金，只花了三年的時間。最近，我們迎來了有史以來最好的一周：僅僅六天，我們就支付了 240 萬美元的賞金！”

漏洞賞金水漲船高，讀到這里你是不是對傳說中的白帽黑客、Bug 賞金獵人、道德黑客這些群體產(chǎn)生了好奇心？作為一位普通開發(fā)者，能在業(yè)余時間從事這些工作嗎？

一位來自 Bugcrowd Bug 賞金平臺綽號為 X3n0N 的年輕開發(fā)者，分享了他如何作為一位小白獲得 2000 美元的經(jīng)歷。而另一位開發(fā)者 Wineberg ，過去六年一直在兼職做 Bug 賞金獵人，由于賞金可觀，一年半前他轉(zhuǎn)成全職 Bug 賞金獵人。

賞金獵人入門

2012 年，還在大學(xué)學(xué)習(xí)計算機科學(xué)時，一名綽號為 X3n0N 的年輕開發(fā)人員開始涉足 Bug 賞金獵人這一行業(yè)。

他通過閱讀網(wǎng)上論壇的帖子和文章，掌握了基本技能，在白帽黑客技術(shù)方面進(jìn)行了嘗試，在各種網(wǎng)站上梳理漏洞，并查看帶有用戶輸入框的網(wǎng)頁以尋找可能潛伏的跨站腳本或 SQL 注入攻擊漏洞。

據(jù)戰(zhàn)略與國際研究中心（Center for Strategic and International Studies，CSIS，美國兩大智庫之一，位于華盛頓特區(qū)）的數(shù)據(jù)，當(dāng)時，造成超過 100 萬美元損失的網(wǎng)絡(luò)攻擊只有今天的四分之一。盡管現(xiàn)在有多家平臺促進(jìn) Bug 賞金計劃，以及強大的 Bug 賞金社區(qū)，但當(dāng)時并沒有足夠的基礎(chǔ)設(shè)施來支持白帽黑客，也就是所謂的道德黑客。

X3n0N 的冒險經(jīng)歷很快讓他遭到一家大型互聯(lián)網(wǎng)服務(wù)提供商的起訴。他發(fā)現(xiàn)了一個安全漏洞，這個漏洞使得劫持客戶賬戶成為可能，他因此可以更改提供商的任何客戶的寬帶套餐。于是，他給該公司發(fā)了一封電子郵件，報告了這一漏洞。他說，該公司沒有 Bug 賞金計劃，因此他沒有要求賞金，只是提醒他們注意這個漏洞，并要求他們確保安全。

但是，該公司收到 X3n0N 的郵件后，一點也不感激。他接著說道，很快，他就開始接到該公司律師的電話，威脅要將他告上法庭。整個事件傳到了他所在院校的校長那里，這一經(jīng)歷讓他感到很不愉快。

由于他的行為顯然沒有惡意，所以整個事態(tài)很快就平息了。他報告該漏洞的電子郵件為他證明了清白：他的意圖是幫助互聯(lián)網(wǎng)提供商更加安全，而不是從中牟利。于是，該公司放棄了訴訟，只要求他正式道歉，并簽署一份保密協(xié)議，承諾不會將公司的漏洞公之于眾。

有了那次經(jīng)歷之后，他變得更加謹(jǐn)慎，但這并沒有阻止他繼續(xù)尋找 Bug 的決心。他了解到，有一些公司有官方的漏洞報告渠道，比如 Google。不久之后，他在 Google 的消息服務(wù)中發(fā)現(xiàn)了一個跨站腳本漏洞，該漏洞允許他通過在電話號碼輸入框中注入 JavaScript 代碼并竊取用戶的 Cookie，從而入侵用戶的賬戶。于是，他向 Google 報告了這一漏洞，Google 為他這一發(fā)現(xiàn)支付了 500 美元的報酬。

隨后，他因一次相關(guān)的跨站請求偽造攻擊而獲得賞金，盡管這次并不是他報告的，但他上一次的報告有助于 Google 發(fā)現(xiàn)這一漏洞，于是 Google 將賞金提高到 2000 美元。X3n0N 對這次經(jīng)歷感到很高興?！拔艺娴暮荛_心，也很驚喜。”他說，“當(dāng)我還在讀書的時候，我做夢也沒想到我居然會掙到 2000 美元。”

從兼職轉(zhuǎn)為全職 ，賞金獵人回報可觀

Wineberg 在網(wǎng)絡(luò)安全行業(yè)工作了十一年。過去六年來，他一直在兼職做 Bug 賞金獵人，直到一年半前，他才轉(zhuǎn)成全職 Bug 賞金獵人。

Wineberg 說：“在過去幾年來，Bug 賞金獵人這一行業(yè)真的很流行，如果你有時間的話，還是有很多工作可以做的。我一直認(rèn)為，如果我肯花時間的話，我就能找到東西。通常情況下，當(dāng)我拿到報酬時，將時間花在做 Bug 賞金獵人上是值得的?！?/p>

當(dāng)他換工作的時候，碰巧也需要搬家，因此無論如何都需要找一份新工作，所以這似乎是一個很好的機會，可以嘗試全職 Bug 賞金獵人。“我想，如果不成功的話，大不了我還可以再去找工作，”Wineberg 說，雖然他還沒有感覺到再找工作的必要?！暗侥壳盀橹?，我真的很享受這份工作?！?/p>

每個星期，他都會挑選幾個目標(biāo)進(jìn)行測試，通常是提供 Bug 賞金計劃的公司最近推出的新產(chǎn)品。

Wineberg 表示：“我總是會試著去看一些新的東西，那些之前沒有做過賞金測試的東西，因為在這些東西上總會有最多的發(fā)現(xiàn)。通常情況下，我會在我正在考慮的網(wǎng)站上進(jìn)行半個小時的測試，然后如果它看起來值得做更多的測試，我就會花幾天或一個星期左右的時間，只測試那一個網(wǎng)站……如果我立即發(fā)現(xiàn)了一個影響較小的漏洞，那往往是一個好的跡象，說明將會有更多的漏洞出現(xiàn)?！?/p>

Wineberg 稱，他把大約四分之一的工作時間花在閱讀安全新聞和其他研究人員發(fā)現(xiàn)的漏洞文檔上。這有助于他隨時關(guān)注新的漏洞，并了解他缺乏經(jīng)驗的技術(shù)棧。

“有了 Bug 賞金，你所關(guān)注的每一個不同的目標(biāo)幾乎總是使用略有不同的技術(shù)來運行其網(wǎng)站或系統(tǒng)，”他說，“通常我會做的是，如果我遇到一種以前不經(jīng)常使用的技術(shù)，我就會回頭尋找任何曾經(jīng)用這種技術(shù)報告過安全問題的人。我會閱讀以前的問題，然后要么去找那些問題，看看這些問題是否適用于目標(biāo)，要么就去想一些新的方法，可能會有所發(fā)現(xiàn)?！?/p>

有些研究人員也會構(gòu)建自己的工具，將部分流程實現(xiàn)自動化，這在一開始的時候需要時間來設(shè)置，但在以后的工作中會有幫助。這正所謂磨刀不誤砍柴工。Wineberg 有時會注意到自己在重復(fù)執(zhí)行同樣的任務(wù)時，就會自己構(gòu)建工具，但大多數(shù)情況下，他并沒有專注于某個特定的方法來充分利用自動化。

“我很喜歡看各種各樣的東西，”他說，“一大堆不同的客戶，一大堆不同類型的漏洞?！?/p>

Bug 賞金可以積累開發(fā)技能

對開發(fā)人員來說，做 Bug 賞金獵人可以是積累更多技能的一種有趣方式，哪怕他們當(dāng)作業(yè)余工作來做。

來自 Bugcrowd 的 McCracken 說，“你不會因為漏洞的存在而任由它‘漏雨’，你可能在一段時間內(nèi)不會有任何發(fā)現(xiàn)或獲得報酬。但是，你在學(xué)習(xí)安全方面的所有投資，都會在你的職業(yè)生涯、你的理解和構(gòu)建方式中得到回報，并且會讓你知道如何構(gòu)建更安全的應(yīng)用?！?/p>

Wineberg 對此觀點亦表示認(rèn)同。他說：“所有人群都可從中受益匪淺，尤其是當(dāng)他們是兼職的話。當(dāng)你全職工作時，你需要有一定的連貫性和策略，并知道你的報酬如何安排?！?/p>

開發(fā)人員往往不會考慮他們的應(yīng)用程序的安全性如何，有時候從安全研究的角度來處理自己的應(yīng)用程序是有益的。

Wineberg 說，“開發(fā)人員了解他們的產(chǎn)品是如何運作的，但往往不會去測試已部署的生產(chǎn)實例。在我還是顧問的時候，我們經(jīng)常與開發(fā)團(tuán)隊一起工作。如果我們發(fā)現(xiàn)一個問題，有時候我們會就這個問題對開發(fā)人員進(jìn)行描述，他們會說，‘不，它不是這樣工作的，這不是一個問題。’”

Wineberg 接著說，“我們發(fā)現(xiàn)，如果給他們對自己的應(yīng)用程序進(jìn)行一些攻擊性測試的機會，就像我們在 Bug 賞金計劃中對自己的應(yīng)用進(jìn)行一些攻擊性測試那樣，他們就會帶著一堆問題離開。如果你是一名開發(fā)人員，它可以讓你深入了解現(xiàn)實世界中的事物是如何運作的。”

Bug 越來越難被發(fā)現(xiàn)，但賞金也在增多

如今，黑客行業(yè)發(fā)生了翻天覆地的變化。要在大型互聯(lián)網(wǎng)公司中發(fā)現(xiàn) Web 應(yīng)用程序的漏洞，難度在增大，但 Bug 賞金和 Bug 報告計劃也變得更加常見，公司也更愿意使用專業(yè)的滲透測試（Penetration Testing，也稱為 Pen Tensting）公司的服務(wù)。滲透測試公司，就像他們所說的那樣，幫助定位客戶系統(tǒng)中的漏洞，其運作方式與傳統(tǒng)的咨詢公司類似，工作人員專門負(fù)責(zé)尋找安全漏洞。

Bug 賞金平臺的運作方式有所不同。這些平臺更像是一個市場，為自由 Bug 賞金獵人和對他們的服務(wù)感興趣的公司牽線搭橋。它們通過讓公司接觸大量黑客來吸引公司，反過來又通過提供愿意為其服務(wù)付費的公司名單來吸引黑客。Bigcrowd 于 2011 年作為世界首家 Bug 賞金平臺推出，之后很快就有很多其他平臺紛紛效仿。

Bugcrowd 安全運營總監(jiān) Grant McCracken 說：“眾包安全的理念是，如果你進(jìn)行滲透測試，通常會有一個人做評估。如果你有兩個人進(jìn)行評估，你可能會發(fā)現(xiàn)這樣做比一個人能夠發(fā)現(xiàn)更多的東西；而如果有 500 個人的話，那就是指數(shù)級增加了，可不是僅靠一兩個人發(fā)現(xiàn)所能比的。所以說，它是在利用大眾的力量和零工經(jīng)濟(jì)（gig economy）的可擴展性來滿足網(wǎng)絡(luò)安全領(lǐng)域的需求。”

Bug 賞金平臺需要一段時間才能為主流所接受。Katie Moussouris 是另一個早期的 Bug 賞金平臺 HackerOne 的前首席政策官，她在幫助其項目發(fā)展的過程中發(fā)揮了重要作用。

她甚至成功與美國國防部合作，在 2016 年發(fā)起了試點 Bug 賞金挑戰(zhàn)賽，名為“Hack The Pentagon”（入侵五角大樓）。逾一千名黑客參與其中，總共發(fā)現(xiàn) 138 個有效的安全漏洞。美國政府為此支付了大約 7.5 萬美元。該試點被國防部認(rèn)為是一次成功的概念驗證。

挑戰(zhàn)賽結(jié)束后，時任國防部長 Ash Carter 說：“我們對某些系統(tǒng)和網(wǎng)站的關(guān)注者越友好，我們就能發(fā)現(xiàn)越多的漏洞，就能修復(fù)越多的漏洞，我們就能為我們的戰(zhàn)士提供更多的安全保障。”隨后，該試點項目又陸續(xù)發(fā)起了入侵陸軍、入侵空軍、入侵海軍陸戰(zhàn)隊的黑客挑戰(zhàn)賽，以及持續(xù)的漏洞披露計劃，任何人都可以報告他們發(fā)現(xiàn)的漏洞。

在這些努力的推動下，以及在越來越重視安全防范措施的趨勢下，道德黑客的行為已得到更廣泛的接受。Bug 賞金計劃和雇傭黑客的公司現(xiàn)在將他們稱為“安全研究人員”，聽起來更體面。隨著這一舉動成為主流，使得更多的人開始嘗試涉足 Bug 賞金獵人。如今，Bugcroud 平臺上已經(jīng)列出了大約 14 萬名研究人員。

與此同時，公司越來越重視安全，這使得查找 Bug 變得更具挑戰(zhàn)性。提供滲透測試服務(wù)的咨詢公司 Rapid 在其 2019 年度調(diào)查報告稱，當(dāng)滲透測試員被聘請從公司網(wǎng)絡(luò)外部測試公司的系統(tǒng)時，他們只有 21% 的時間能夠侵入網(wǎng)絡(luò)。成功攻擊公司網(wǎng)站的幾率更小，導(dǎo)致公司系統(tǒng)總訪問率只有 3%。

這些數(shù)字看上去，可能離理想中的零相去甚遠(yuǎn)，但卻令人鼓舞。因為滲透測試人員都是經(jīng)過嚴(yán)格訓(xùn)練的，能夠入侵系統(tǒng)。這對每個人來說都不啻為一個好消息，但這確實意味著在過去十年里，成功發(fā)現(xiàn) Bug 并因此獲取報酬的門檻已經(jīng)提高了。

熱情好客的社區(qū)

考慮到參與者眾多，安全意識也越來越強，發(fā)現(xiàn) Bug 的難度也越來越大，社區(qū)還能受到如此歡迎，著實有點令人驚訝。

Wesley Wineberg 具有網(wǎng)絡(luò)安全背景，六年來一直從事尋找 Bug 的工作。

Wineberg 稱：“通常情況下，如果我向某人求助，或者想要分享一些技巧，人們真的都會對此持開放態(tài)度，而且非常友好?！?/p>

他解釋說，研究人員發(fā)現(xiàn)的數(shù)漏洞，大多都可以歸為幾類，這些漏洞可以通過使用廣為人知并有詳細(xì)記錄的技術(shù)來發(fā)現(xiàn)，比如每年的 OWASP 十大最關(guān)鍵 Web 應(yīng)用安全漏洞榜單上。當(dāng)然，如果是研究人員自己開發(fā)的更復(fù)雜、更創(chuàng)新的方法，它就不適用了。

“這里面存在一個平衡點。如果有人擁有別人無法使用的技術(shù)，而他們得到了大量的發(fā)現(xiàn)并拿到了可觀的賞金，那他們就不會真的會去分享太多關(guān)于這項技術(shù)的信息?！盬ineberg 說。

但大多數(shù)情況下，人們還是愿意互相幫助的。盡管有越來越多的人在尋找 Bug，但仍然有很多 Bug 等待被人們發(fā)現(xiàn)。

Wineberg 說：“每年都有越來越多的人在做 Bug 賞金獵人，但每年的目標(biāo)也會越來越多。如果有人想在某個目標(biāo)需要幫助的話，我會假設(shè)這個目標(biāo)和我這周的目標(biāo)不一樣，只是因為可供選擇的目標(biāo)實在太多了。”

除了研究人員之間互相學(xué)習(xí)之外，對于剛剛?cè)腴T的新手來說，也有很多資源可供學(xué)習(xí)。那些掌握基礎(chǔ)知識的人可以有目的地下載不安全的網(wǎng)絡(luò)應(yīng)用程序（因為未經(jīng)網(wǎng)站所有者的明確許可而入侵網(wǎng)站是聯(lián)邦犯罪），還可以跟隨實時黑客教程學(xué)習(xí)，甚至進(jìn)行黑客游戲，該游戲旨在讓 K-12 年級的學(xué)生成為黑客的新秀。

另一個很好的學(xué)習(xí)方式是閱讀研究人員寫的有關(guān)他們成功經(jīng)驗的博文。2019 年，Teddy Katz 從 GitHub 獲得了 2.5 萬美元的賞金，這是 GitHub 有史以來最高的賞金，之后，他發(fā)布了一份詳細(xì)的教程，闡述了他是如何發(fā)現(xiàn)這一漏洞的。這一漏洞繞過了 GitHub 的授權(quán)流程中的檢查。

參考閱讀：

https://www.businessinsider.in/tech/news/indian-developer-earns-rs-75-lakh-for-finding-sign-in-with-apple-bug

https://builtin.com/software-engineering-perspectives/bug-bounty-hunting

https://www.bleepingcomputer.com/news/security/100-million-in-bounties-paid-via-hackerone-to-ethical-hackers/