记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

没1500美元 别想打动白帽子挖漏洞

漏洞收集平台Bug Crowd指出,穷得叮当响的机构如果想设立漏洞奖励项目,要做好至少为毫不重要但有所相关的漏洞支付至少1500美元的准备。关键漏洞或P1级别的漏洞在任何地方的价值都应当在1千5百到1万5千美金之间,具体金额取决于机构的安全防御成熟度。稍微还有那么一点作用的漏洞至少值100到300美金。BugCrowd 老板卡西·埃力斯(Casey Ellis)说,他们收到了大量关于如何适当进行奖励的询问。埃利斯在公司报告中说:“这些问题很棒,随着漏洞奖励市场不断成熟,它们的答案也将变化。”尽管市场正不断发展,成功的关键始终没有变。要想运行一项成功的奖励计划,你必须用适当的激励吸引厉害的研究人员。 BugCrowd 公司的问卷对于任何市场而言,其存在价值都在于交易行为本身。漏洞奖励市场目前所处的阶段还
发布时间:2016-02-04 20:45 | 阅读:97348 | 评论:0 | 标签:牛闻牛评 漏洞市场 白帽子 漏洞

前赴后继 又一家安全公司进入零日漏洞交易市场

“黑客团队”(hacking Team)数据泄露事件之后的几周里,从事漏洞及漏洞利用代码买卖的小而隐蔽的公司就成了媒体聚光灯投射的焦点。Netragard,这类公司的其中之一,在它与“黑客团队”的交易曝光之后便于本周宣布退出漏洞交易行业。但现在,这一领域迎来了新成员——Zerodium,其背后是几个我们很熟悉的名字。这家公司是由VUPEN创始人查乌奇·贝克拉成立的,他就是一漏洞及利用代码经纪人,常处于这行当合法性和道德大讨论的中心。VUPEN是漏洞交易领域里少有的几家完全靠自己的研究和开发吃饭的公司之一,它不从外界购买漏洞或利用代码。但现在,在这样一个立法者、媒体和政府从未如此关注的时刻,贝克拉却投入了完全从事漏洞及利用代码购买的新冒险中。Zerodium计划专注于购买高危漏洞,不关心低端部分。它将使用购得的漏
发布时间:2015-08-12 12:30 | 阅读:82819 | 评论:0 | 标签:动态 Zerodium 漏洞市场 零日漏洞 漏洞

漏洞到底应该怎样披露?

漏洞披露、漏洞奖励计划,甚至是漏洞市场营销已经成为整个安全生态环境的重要组成部分。但在漏洞披露机制及其产生的影响上,业界并没有统一和清晰的认识。漏洞细节披露益处和坏处孰重敦轻?漏洞奖励计划,它们合理吗?目前漏洞提交大致有四种情形:1. 不披露。如白帽子直接给各企业SRC提交的漏洞。2. 部分披露。360的补天平台仅仅公布漏洞类型、影响程序,并不会公布漏洞利用的技术细节。360补天依据互联网协会规定的漏洞披露和处置公约选择了部分披露的方式,主要目的是为了保护企业的利益,因为大量的漏洞在保护期后依然无法得到很好的修复,导致被再次利用的情况非常普遍,同时我们也通过更多的现金奖励和大量厂商共同参与奖励的办法,给白帽子带来切实的利益。除此之外。我们还会通过其他方式如360安全播报定期发布最新安全技术文章帮助白帽子在不披露
发布时间:2015-08-01 00:00 | 阅读:119107 | 评论:0 | 标签:牛观点 漏洞市场 漏洞披露 漏洞

代码即武器:美国开始控制漏洞市场

上周,美国工业与安全局(BIS)公布了一份把限制黑客技术放入全球武器贸易条约--“瓦森纳协定”(Wassenaar Arrangement,WA)的计划。计划表明了美国政府对黑客技术的态度,并在黑客技术与计算机安全的圈子里点燃了一场风暴。人们在激烈的内部争论中表现得异常亢奋,这是因为这一新规改变了入侵软件和网络协议(IP)网络通信监视的定义,并可能使渗透测试工具、网络入侵、利用零日漏洞变成犯罪行为。有些人认为,新的定义方式似乎也给给予了美国在购买、销售、进出口某些特定种类的网络战工具时的优势。漏洞市场目前还是黑市,但美国政府已经成为了其中最大的玩家。代码即武器当争议在本周爆发,人们纷纷讨论政府将出售零日漏洞行为非法化的动机时,BIS的主管兰迪·惠勒解释称,对漏洞、零日漏洞、入侵软件进行开发、测试、评估、产品化现
发布时间:2015-06-02 21:15 | 阅读:106807 | 评论:0 | 标签:动态 国家安全 技术禁运 漏洞市场 漏洞

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云