老是有人发 Bug bounty 邮件要求给奖金怎么搞啊?

我司有在运营一个海外业务, 年收入大概 $10M, 做了大概 3 年多. 从去年开始, 断断续续一直有人在发邮件说找到了我们系统的 bug 问有没有 bug bounty program 要求给奖金. 一开始没管, 但是现在这个业务越做越大, 不得不开始考虑这个问题了. 不知道大家有遇到过这类问题没?

keaidian

2023-09-18 15:13:00 +08:00

可以参考苹果的，https://security.apple.com/bounty

v2nika

2023-09-18 15:25:45 +08:00

@keaidian 还没有 Apple 这么财大气粗, 这个项目虽然有现金流, 但是基本不赚钱.

laozhoubuluo

2023-09-18 15:43:40 +08:00

一般这种要求给钱但给不出任何细节的基本都是诈骗。
Bug bounty 可以搞，但一般规则都是先交漏洞后给钱，给多少钱以厂商计算为准。

hanssx

2023-09-18 16:06:17 +08:00

1000 万刀？如果漏洞属实，是建议给的，参考 h1

villa2935

2023-09-18 16:08:37 +08:00

这很正常，公司发薪的员工没找到 bug ，别人帮忙找到了，不得多给点嘛。

corcre

2023-09-18 16:33:33 +08:00

我司老板前不久也收到了一封, 连夜找 IT 老大让他找人给全公司的系统做一个渗透测试...
(给没给钱不知道

vangjing

2023-09-18 16:45:25 +08:00

可以让他提交 CVE ，价格可以参考微软( https://www.microsoft.com/en-us/msrc/bounty) 或者一楼提到的苹果。

sunshower

2023-09-18 18:10:38 +08:00

跟上面老板讲咯，做不做他的事，难不成你有决定权吗

v2nika

2023-09-18 18:30:10 +08:00

@sunshower 上面的老板就是大 boss 了, 并不了解技术问题

corcre

2023-09-18 22:56:14 +08:00

@v2nika 系统安全性稀烂但是网络安全性挺好，不过反正大部分都是内网系统，所以只要进不来内网我就当他安全🌝
（实际上后面要给一个买回来的系统擦屁股，所有的 api 都有 sql 注入的问题😹

brsyrockss

2023-09-18 23:37:53 +08:00

一年一千万刀流水结果还不赚钱？

v2nika

2023-09-19 09:27:27 +08:00

@corcre 你们内网是用的啥 vpn 啊? 深信服说是不支持 aws, 我们机器在 aws 上. 剩下的就得选 cisco 了?

corcre

2023-09-19 09:51:06 +08:00

@v2nika 我们公司放了两个小机房, vpn 都是连我们自己服务器的, 所以没有这个问题...

v2nika

2023-09-19 15:57:35 +08:00

@corcre 所以你们有用啥 VPN 软件么? 我理解这个是必需的?

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/974858

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.