个人漏洞赏金计划如何意外为Serendipity博客提供免费安全审计

HackerOne是目前最受欢迎的漏洞赏金计划平台之一。虽然通常运营漏洞赏金计划的是企业，但不久前我注意到有些人在HackerOne上为私人项目运行无报酬的漏洞赏金计划。这引起了我的好奇心，于是我决定为自己的一些个人网页启动这样一个计划。

HackerOne的流程要求计划开始时设为私有状态，仅限少量邀请。启动计划后不久，第一批报告就出现了。不出所料，我收到了大量误报，我试图通过更详细地记录计划描述中的范围来限制这种情况。我还通过联系表单收到了大量Web安全扫描器负载。但更令我惊讶的是，我也收到了一些质量非常高的报告。

这个博客和范围内的其他两个网站使用Serendipity（也称为S9Y），这是一个用PHP编写的博客软件。通过漏洞赏金计划，我收到了关于开放重定向、首页中的XSS、后端中的XSS、后端中的SQL注入以及freetag插件中的另一个SQL注入的报告。所有这些确实是Serendipity中的合法漏洞，其中一些相当严重。我将报告转发给了Serendipity开发人员。

目前修复已经可用，第一轮修复随Serendipity 2.1.3发布，另一个问题在2.1.4中修复。freetag插件已更新至版本2.69。如果您使用Serendipity，请确保运行最新版本。

我并不总是对漏洞赏金平台的运作方式感到满意，但它们似乎吸引了一个活跃的安全研究人员社区，这些研究人员也愿意偶尔查看没有经济回报的项目。虽然大公司运行无报酬的漏洞赏金计划值得商榷，但我认为对于私人项目和志愿者运营的自由开源项目来说，这完全没有问题。

我从中得出的结论是，可能有更多项目应该尝试利用漏洞赏金社区。本质上，Serendipity获得了一次免费的安全审计，现在更加安全了。这是通过我个人漏洞赏金计划的间接方式实现的，但当然也可以直接运作。自由软件项目可以启动自己的漏洞赏金计划，如果是关于Web应用程序，理想情况下应该在范围内拥有自己产品的实时安装。

如果您发现我的网页存在一些安全问题，欢迎报告。特别感谢Brian Carpenter（Geeknik）、Julio Cesar和oreamnos让我的博客更加安全。

评论部分

它通过我个人漏洞赏金计划的间接方式实现了这一点，但当然也可以直接运作。

我认为重要的是，您为他们做了筛选和验证问题的艰苦工作。这在这里奏效了。

但这会产生一些不正当的激励……如果您注册并为您的个人网站支付漏洞赏金，然后从提交者那里收集Serendipity的0day漏洞，这会如何运作？

#1 Tom (主页) 于 2018-11-12 19:03 (回复)