버그 현상금은 컴퓨터 소프트웨어 및 서비스에서 보안 결함을 발견한 사람들에게 금전적인 보상을 제공합니다. 버그 현상금 사냥꾼이 되려면 무엇이 필요하며, 이를 통해 생계를 꾸릴 수 있습니까?
관련된: ExpressVPN을 해킹할 수 있다면 $100,000를 드립니다
버그 바운티 프로그램이란 무엇입니까?
우리가 매일 사용하는 소프트웨어와 서비스는 종종 비즈니스가 돈을 벌 수 있도록 코드를 작성하고 실행해야 한다는 압력을 받는 인간에 의해 작성됩니다. 현대의 소프트웨어 개발 방법은 심각한 문제가 현저히 적은 소프트웨어를 생성하지만 소규모 개발자 그룹이 모든 가능성을 예측하거나 모든 단일 실수를 볼 수 있는 방법은 없습니다.
이것을 해당 코드의 갑옷에서 가능한 모든 틈을 찾는 해커 군대와 비교하면 버그 현상금 프로그램이 필요한 이유가 분명합니다. 이 프로그램은 제공되는 앱과 서비스에서 확실한 취약점이나 다른 적격한 유형의 문제를 발견한 사람들에게 보상을 제공합니다.
누가 버그 현상금을 받을 수 있습니까?
원칙적으로 누가 취약점이나 악용을 발견했는지는 중요하지 않습니다. 중요한 것은 회사가 이에 대해 알고 실제 피해로 이어지기 전에 문제를 해결하는 것입니다. 실제로 버그 포상금은 전문 보안 연구원이 주장하는 경우가 가장 많습니다. 이들은 의도적으로 시스템의 약점을 찾아 보상금을 받거나 회사를 위해 “침투 테스트”를 수행하기 위해 선불로 받는 전문가입니다.
그렇다고 해서 발견하면 보고할 수 없다는 의미는 아니지만 제출 요구 사항을 찾아보고 문제를 보고하는 데 필요한 기술 정보가 있는지 확인해야 합니다.
버그 바운티 프로그램이 모두 같지는 않습니다.
버그 포상금을 청구하는 프로세스와 지불을 받을 수 있는 자격은 프로그램마다 다릅니다. 문제의 회사는 비용을 지불할 가치가 있는 문제로 간주되는 문제에 대한 규칙을 설정합니다. 또한 문제를 복제하고 확인하기 위해 알아야 할 모든 사항과 함께 해당 문제를 보고하기 위한 적절한 형식을 설정합니다.
검증된 보고서의 가치도 달라집니다. 일부 회사는 규모가 크며 보안에 많은 예산이 소요됩니다. 다른 사람들은 상대적으로 소규모의 영구적인 사이버 보안 직원 보완을 보완하기 위해 버그 현상금 프로그램에 의존하는 소규모 비즈니스 또는 신생 기업입니다. 이 경우 현상금이 더 적습니다.
버그 바운티 프로그램을 찾을 수 있는 곳
보고 가능한 취약점을 발견했는지 확인하는 첫 번째 장소는 해당 제품을 만들거나 해당 서비스를 제공하는 회사 웹사이트입니다. 일반적으로 자체 버그 현상금 프로그램을 실행하고 관리하는 것은 매우 큰 회사일 뿐입니다.
작은 의상은 특수 버그 현상금 서비스를 사용할 가능성이 더 큽니다. 예를 들어 HackerOne의 버그 바운티 프로그램 목록은 사이트를 통해 관리되는 다양한 회사의 프로그램을 홍보합니다.
버그 바운티는 얼마를 지불합니까?
위에 링크된 HackerOne 버그 포상금 목록을 방문했다면 각 프로그램에 최소 포상금이 나열되어 있음을 알 수 있습니다. 프로그램 중 하나를 열면 취약점의 심각도에 따라 평균 현상금 지급 및 보상 계층에 대한 통계를 볼 수 있습니다.
낮음, 중간 및 높음 심각도 문제는 수백 달러에서 수천 달러의 수익을 올릴 수 있는 반면 심각한 취약점은 수천 달러를 지불할 수 있습니다.
지난 몇 년 동안 정말 놀라운 현상금과 엄청난 제안이 있었지만 이것은 복권에 당첨된 것과 같습니다. 백만 분의 1의 익스플로잇에서 발생하는 사람이 되어야 하며 그러한 유형의 현금을 보유한 대기업 시스템에 있어야 합니다. 버그 현상금으로 생계를 유지하고 싶다면 체계적인 침투 테스트를 통해 발생하는 작은 공통 버그로 안정적인 수입을 얻을 가능성이 더 큽니다.
