原文地址:https://dmshagov.github.io/Economics-of-the-Bug-Bounty-Hunting/

大家好!这是本人第一次公开探讨自己对漏洞赏金的看法,所以,请容在下先简要的自我介绍一下。

自我介绍


我叫Dmitriy,从2016年开始,就踏上了全职的漏洞赏金之路。2015年夏天,我遇到了Hackerone网站,当时,正是我的广告技术初创公司陷入困境的时候。实际上,我一直对网络安全抱有很大的兴趣,不过,那时挖洞只是一项业余爱好,不过偶尔也会收到一些赏金。到2015年底,我放弃了自己的创业之梦,打算先休息几个月,然后决定下一步要做什么。在接下来的几个月里,没想到自己的挖洞技能竟然突飞猛进,于是,我注册了Bugcrowd和Synack网站,并参加了Mark Litchfield组织的250k挑战赛(这要特别感谢Mark!),并意识到其实我可以靠挖洞为生。

概述


实际上,挖洞是一项非常不错的活动,通过它可挑战我们自己的智力。一直以来,智力挑战才是我从事这项活动的动力源泉(我希望将来也是)。一旦成功搞定某个超级棘手的漏洞,会给人带来难以言表的成就感。不过在这篇文章中,我主要想谈谈挖洞的另一面——经济回报。

漏洞赏金是一个主要面向个人的领域。对于个人来说,衡量经济回报的指标主要有两个,即收入(以$为单位)和小时工资($Rate=$/hr)。

每个经验丰富的漏洞赏金猎人都有自己判断哪些赏金活动值得关注、哪些项目不值得投入时间的方法。

那我们怎么判定哪个赏金活动值得参与呢?这里的关键指标是小时工资。当然,赏金活动和平台只会根据我们提交的安全漏洞的质量来付费,而不管我们花费了多少时间。然而,挖洞是一个随机过程,因此,我们只有在花费大量时间后,才能评估出从事某些赏金活动的小时工资。但是,您可以凭直觉(或者参考其他赏金活动)估计从事某项赏金活动的$/hr值,并据此判断是否值得参与。

小时工资($Rate)


因此,收入的计算公式为:

收入 = $Rate * 小时数量

很明显,我们可以投入的小时数量是有限的,但是$Rate却可以在很大范围内浮动。

作为一名赏金猎人,影响$Rate的因素有哪些呢?为了简单起见,这里只讨论最重要的三个因素:

1.找到漏洞的概率
2.漏洞的赏金数目
3.撞洞的概率。

具体的计算公式如下所示:

$Rate = SUM (找到漏洞的概率漏洞的赏金数目 (1 - 被骗的概率))

其中,SUM表示当前正在寻找的所有漏洞类型的总和。

每个全职的漏洞赏金猎人都梦想着能够达到$29k/hr级别的小时工资。因此,要想成功(这里是从经济收入的角度来说的),我们需要最大化自己的小时工资指标。

最大化小时工资


在知道上述公式之后,具体该怎么做就不言自明了:

1.挖掘具有最大漏洞赏金期望值的程序/位置/漏洞类型(漏洞赏金期望值 = 找到漏洞的概率 * 漏洞的赏金数目 )。
2.将撞洞的概率降至最低。

要挖就挖赏金期望值最大的漏洞

漏洞赏金的期望值等于找到漏洞的概率*漏洞的赏金数目

所以,理想的漏洞赏金活动至少需要具备两个条件,一是赏金要有吸引力,二是容易找到漏洞。但是,理想很丰满,现实很骨感:赏金越有吸引力,就越难挖到漏洞。因此,如果我们依据这两个指标来选择要参与的赏金活动的话,收入的波动就会非常大,例如,7月收入为5千美元,8月收入为5万美元,9月收入为0美元——刺激不刺激,惊喜不惊喜?!

因此,如果您更喜欢稳定的收入,不妨寻找奖金水平处于中游的活动/漏洞,因为对于这些活动/漏洞来说,挖掘到漏洞的机会往往会更大一些。

当然,这个漏洞奖金期望值的计算公式也无法保证放之四海而皆准,因为总会存在一些特殊情况。

想象一下,您被邀请参加一个接收各种类型的漏洞的赏金活动,其中:

  • 反射型XSS——250美元
  • 存储型XSS——1000美元
  • RCE——2000美元

那么,我们应该关注哪些类型的漏洞呢?如果让我来选的话,我肯定会选择存储型XSS——因为找到这种类型的漏洞的概率通常远高于找到RCE漏洞的概率。就这里来说,找到反射型XSS的概率应该是最高的,但是它的赏金只是存储型XSS漏洞的四分之一。最重要的是,这时撞洞的概率将是最高的。

例如,对于Verizon Media的赏金活动来说,通过查看他们的赏金表,我相信其中的SSRF/XXE漏洞就属于这种情况。

降低撞洞的可能性

对于常见的赏金活动来说,一切都非常简单:

1.查找竞争不太激烈的领域(例如那些有门槛的,需要购买订阅的领域等)
2.查找竞争不太激烈的活动
3.专注于竞争不太激烈的漏洞类型(很明显,CSRF撞洞可能性,要远远高于RCE)

如果您可以访问已经提交的漏洞列表,那么事情将会有很大的转机。换句话说,这可以大大降低撞洞的几率。

从事漏洞赏金猎人一年之后,我曾经做过一个统计,结果发现在H1平台上面报告的30%洞是重复的,在Synack平台上撞洞的概率不到10%。

其他注意事项


为了简单起见,我们前面只讨论了3个参数,即找到漏洞的概率、漏洞的奖金数目以及撞洞的概率。但是,除此之外,还要考虑其他方面的各种因素:

I. 挖到N/A或OOS(超出范围)漏洞的概率。

如果连到底要挖掘什么样的漏洞都不太清楚的话,那么很可能就是在浪费时间。

II. 赏金到手的概率。

赏金活动总是有可能会因为忽略您的报告、活动结束或者其他原因而拒绝付费。

III. 被邀请参加赏金活动的机会。

您可能会收到之前参与过的赏金活动发来的邀请。有时候,这可能意味着为了收到一份诱人的邀请,需要提前在某些赏金活动上倾注一些时间,不过,就$Rate而言,当时这些活动可能并非最佳选择。

在这方面,我就有过一个深刻的教训。由于之前我参与过两次H1-702漏洞赏金活动,所以后来又收到了他们的邀请。根据之前的经验,虽然在这个平台上找到过几个漏洞,但就小时收入来说,吸引力并不是很大。因此,我估计今年也是如此,所以就没有接受邀请。您猜猜怎么着?今年他们举办了有史以来最“丰盛”的一次漏洞赏金活动:)

蹲坑,还是换坑?


有时你会陷入这样的两难境地:自己一直在参与某个活动,已经坚持了几个月,并且报酬也很不错,但时不时会收到新的邀请。这里的主要问题是,如果没有参与其间并至少提交一份报告的话,我们是很难评估一个新活动的。

这种情况在数学上被称为多臂老虎机问题。事实证明,最好将90%的时间花在具有最佳薪酬的活动上,然后拿出10%的时间去探索和评估新的目标,该方法可以最大限度提高我们的收入。

联系方式


这是我的第一篇博客文章,希望能得到大家的反馈。大家可以在twitter上联系我@dmi3sh,随时恭候您的佳音。

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖