背景说明
今天分享国外一位25岁全职白帽小哥Eldar对国外4大众测平台的优缺点对比,这位25岁全职白帽小哥在过去4个月共收获60,000美元的赏金,他每周大概工作20-30小时,下表是他4个月以来的数据统计:
| 众测平台 | 总提交数量 | 已接受/已付款数量 | 待确认数量 | 撞洞数量 | 被拒绝/无效数量 | 总体赏金 |
|---|---|---|---|---|---|---|
| Yeswehack | 10 | 10 | 0 | 0 | 0 | 约15000美元 |
| Intigriti | 37 | 35 | 1 | 1 | 0 | 约14000美元 |
| Bugcrowd | 23 | 15 | 4 | 4(已支付1) | 0 | 约14000美元 |
| Hackerone | 3 | 3 | 0 | 0 | 0 | 约12000美元 |
| GoBugFree | 3 | 1 | 0 | 2 | 0 | 约2000美元 |
平台对比
Yeswehack
- 优点:
可以直接与漏洞分类人员互动,而不是与平台互动,这使得漏洞分类的过程更加顺畅,不必写一份包含 100 个步骤的报告。另外如果审核人员说某个漏洞是可接受的风险,那么基本上是可以接受的。总体来说,该平台的分类体验很不错。
- 快速的漏洞分类
- 在成功报告了一些漏洞后会定期收到一些’私有项目‘的邀请
- 与其他众测平台相比,竞争较少
- 白帽小哥因此还受邀参加LHE in Paris,获得了很棒的奖品并结识了很棒的人
- 缺点:
- 赏金低于其它众测平台(尤其是漂亮国的平台)
- 没有太多具有大范围或大应用的程序
Intigriti
- 优点:
漏洞分类体验也比较顺利,尽管报告经过平台和程序化分类,但几乎和 Yeswehack 一样顺利,漏洞分类器很友好,当他们无法验证漏洞时,你可以发送 POC 视频,他们会根据该视频对漏洞进行分类。
- 大多数漏洞会在2天内获得验证
- 在成功报告了一些漏洞后会定期收到一些’私有项目‘的邀请
- Intigriti 的 fast lane(快车道)值得其它平台学习
- 应用程序目录庞大,有很多瑞典公司,通常应用程序具有很多功能和很广的范围
- 网站很漂亮,网站设计也非常时尚
- 项目更新频次较高
- 缺点:
通常比 Yeswehack 更难解决高危漏洞,比如:
白帽小哥总是尝试将反射/DOM XSS 变成一键 ATO 或类似的漏洞,但总是被 Intigriti 的分类为中危,所以必须说服程序将漏洞级别提升为高危。
- 大多数程序的严重程度等级之间差异很大(从中到高可能相差 5 倍),而且同一严重程度范围内也有很大差异,再加上额外的“异常”严重程度,平台很容易对漏洞支付过低的赏金
- 一般来说,Intigriti 有很多方法来降低成本–比如在N次报告后自动(白帽小哥猜测)暂停程序,虽然对使用 Intigriti 的公司有利,但对白帽子并不友好
Hackerone
白帽小哥目前还没有足够的报告来形成对 Hackerone 的看法,但值得注意的是,今年 3 个有效漏洞(其中2个为严重级漏洞)让白帽小哥收到了超过 50 个‘私有项目’的邀请,不得不说老牌的H1拥有赏金最高的项目。
Bugcrowd
- 优点:
- 许多大公司在 Bugcrowd 上都有项目,而且他们通常会支付非常丰厚的赏金
- 漏洞计划也非常友好,白帽小哥已经向 3 个项目提交了漏洞报告,3 个项目都给出了相当不错的赏金,而且漏洞分类也很快
- 平台更加成熟
- “Joinable”的设定非常棒,这些项目有更高的要求,当然也会获得更高的赏金奖励
- 缺点:
- 平台的漏洞分类体验很糟糕
- 如同文章开头的统计表格所示,白帽小哥没有提交任何无效的漏洞,因此整体结果还是比较满意的。但 Bugcrowd 对漏洞的分类耗时令人沮丧,比如:
-
在报告了 CSRF 并在报告中提供了链接,漏洞分类程序直接不阅读报告,而是询问“你能否向我们提供可用于触发 CSRF 的 URL 或 .html 文件?”…
-
某些存储型 XSS 通过使用 Ctrl/CMD + 单击或鼠标中键来触发,报告中整整提到了 6 次需要这种交互的说明,但是漏洞分类程序1却只是单击,而不使用 Ctrl/CMD,经过再三回复和解释,程序分类程序1才获得确认,但是到了漏洞分类程序2的时候,又说XSS没有弹出,它同样没有使用 Ctrl/CMD,对于一个简单的存储型XSS的分类却整整耗时了2周时间…
-
虽然也会收到一些“私有项目”的邀请,但跟其它平台相比,数量偏少
以上内容由骨哥翻译并整理。
原文:https://www.hakupiku.com/posts/looking-back-at-the-past-4-months/
