白帽故事 · 2024年5月14日

国外4大众测平台优缺点对比

背景说明

今天分享国外一位25岁全职白帽小哥Eldar对国外4大众测平台的优缺点对比,这位25岁全职白帽小哥在过去4个月共收获60,000美元的赏金,他每周大概工作20-30小时,下表是他4个月以来的数据统计:

众测平台 总提交数量 已接受/已付款数量 待确认数量 撞洞数量 被拒绝/无效数量 总体赏金
Yeswehack 10 10 0 0 0 约15000美元
Intigriti 37 35 1 1 0 约14000美元
Bugcrowd 23 15 4 4(已支付1) 0 约14000美元
Hackerone 3 3 0 0 0 约12000美元
GoBugFree 3 1 0 2 0 约2000美元

平台对比

Yeswehack

  • 优点:

可以直接与漏洞分类人员互动,而不是与平台互动,这使得漏洞分类的过程更加顺畅,不必写一份包含 100 个步骤的报告。另外如果审核人员说某个漏洞是可接受的风险,那么基本上是可以接受的。总体来说,该平台的分类体验很不错。

  1. 快速的漏洞分类
  2. 在成功报告了一些漏洞后会定期收到一些’私有项目‘的邀请
  3. 与其他众测平台相比,竞争较少
  4. 白帽小哥因此还受邀参加LHE in Paris,获得了很棒的奖品并结识了很棒的人
  • 缺点:
  1. 赏金低于其它众测平台(尤其是漂亮国的平台)
  2. 没有太多具有大范围或大应用的程序

Intigriti

  • 优点:

漏洞分类体验也比较顺利,尽管报告经过平台和程序化分类,但几乎和 Yeswehack 一样顺利,漏洞分类器很友好,当他们无法验证漏洞时,你可以发送 POC 视频,他们会根据该视频对漏洞进行分类。

  1. 大多数漏洞会在2天内获得验证
  2. 在成功报告了一些漏洞后会定期收到一些’私有项目‘的邀请
  3. Intigriti 的 fast lane(快车道)值得其它平台学习
  4. 应用程序目录庞大,有很多瑞典公司,通常应用程序具有很多功能和很广的范围
  5. 网站很漂亮,网站设计也非常时尚
  6. 项目更新频次较高
  • 缺点:

通常比 Yeswehack 更难解决高危漏洞,比如:

白帽小哥总是尝试将反射/DOM XSS 变成一键 ATO 或类似的漏洞,但总是被 Intigriti 的分类为中危,所以必须说服程序将漏洞级别提升为高危。

  1. 大多数程序的严重程度等级之间差异很大(从中到高可能相差 5 倍),而且同一严重程度范围内也有很大差异,再加上额外的“异常”严重程度,平台很容易对漏洞支付过低的赏金
  2. 一般来说,Intigriti 有很多方法来降低成本–比如在N次报告后自动(白帽小哥猜测)暂停程序,虽然对使用 Intigriti 的公司有利,但对白帽子并不友好

Hackerone

白帽小哥目前还没有足够的报告来形成对 Hackerone 的看法,但值得注意的是,今年 3 个有效漏洞(其中2个为严重级漏洞)让白帽小哥收到了超过 50 个‘私有项目’的邀请,不得不说老牌的H1拥有赏金最高的项目。

Bugcrowd

  • 优点:
  1. 许多大公司在 Bugcrowd 上都有项目,而且他们通常会支付非常丰厚的赏金
  2. 漏洞计划也非常友好,白帽小哥已经向 3 个项目提交了漏洞报告,3 个项目都给出了相当不错的赏金,而且漏洞分类也很快
  3. 平台更加成熟
  4. “Joinable”的设定非常棒,这些项目有更高的要求,当然也会获得更高的赏金奖励
  • 缺点:
  1. 平台的漏洞分类体验很糟糕
  2. 如同文章开头的统计表格所示,白帽小哥没有提交任何无效的漏洞,因此整体结果还是比较满意的。但 Bugcrowd 对漏洞的分类耗时令人沮丧,比如:
  • 在报告了 CSRF 并在报告中提供了链接,漏洞分类程序直接不阅读报告,而是询问“你能否向我们提供可用于触发 CSRF 的 URL 或 .html 文件?”…

  • 某些存储型 XSS 通过使用 Ctrl/CMD + 单击或鼠标中键来触发,报告中整整提到了 6 次需要这种交互的说明,但是漏洞分类程序1却只是单击,而不使用 Ctrl/CMD,经过再三回复和解释,程序分类程序1才获得确认,但是到了漏洞分类程序2的时候,又说XSS没有弹出,它同样没有使用 Ctrl/CMD,对于一个简单的存储型XSS的分类却整整耗时了2周时间…

  • 虽然也会收到一些“私有项目”的邀请,但跟其它平台相比,数量偏少

以上内容由骨哥翻译并整理。

原文:https://www.hakupiku.com/posts/looking-back-at-the-past-4-months/