2014电子商务安全峰会history of bounty pro

1、History of bounty programs关于我2010年 携程旅行网关注应用安全、安全架构、应急响应、安全管理等F赏金漏洞历史 有趣的开始赏金漏洞历史 有趣的开始1995年 - Netscape（网景）推出第一个漏洞赏金计划1995年10月10日 一个有纪念意义的日子网景浏览器2.0beta版本安全问题50名子奖品：Netscape杯子和T恤pay-for-bugsbounty赏金漏洞历史 有趣的开始2002年 - IDefense公司推出赏金漏洞中间人计划2002年8月，安全分析监测公司iDefense推出漏洞贡献者（VCP）计划赏金范围奖金：漏洞类型、细节、严重级别、受影响的用

2、户数2007年 首次悬赏IE7和VISTA赏金漏洞历史 有趣的开始2004年 - Mozilla Firefox浏览器推出赏金漏洞计划2004年8月2日， Mozilla推出赏金漏洞计划500赏金漏洞历史 有趣的开始2005年 - Zero Day Initiative浮出水面2005年7月23日，TippingPoint推出ZDI中间人赏金计划2010年被3COM公司收购赏金漏洞历史 有趣的开始2007年 - Pwn2Own2007年的CanSecWest安全会议，Dragos Ruiu发起Pwn2Own大赛Mac OSX漏洞笔记本电脑 à10000美刀2014年，85W美刀赏金漏

3、洞历史 有趣的开始2009年 no more free bugs2009年的CanSecWest安全会议，Miller喊出：赏金漏洞历史 有趣的开始2010年 -推出Web应用的赏金计划2010年，Chromium开源项目安全测试随后推出安全性测试*.*.*赏金漏洞历史 有趣的开始2010年 - Mozilla升级了他们的赏金计划范围扩展至Web应用层面* pfs.mozilla.o

4、rg aus*.Baracuda和Deutsche Post赏金漏洞历史 有趣的开始2011年 -子计划2011年8月上线，最低将支付500负责任的漏洞披露流程、可能对用户造成影响的漏洞，如XSS、CSRF、代码执行等。拒绝接受、利比亚、古巴等地提交的漏洞600+子200截止目前，共赏金漏洞历史 有趣的开始Web赏金漏洞史上最高 单个漏洞3.5W美刀StackOverflowOpenID赏金漏洞历史 有趣的开始2012年 腾讯TSRC上线2012年6月上线300+子，5000+漏洞超过250WRMB截止目前，共赏金漏洞历史 有趣的开

5、始2013年 - 互联网漏洞奖金2013年，微软和发起互联网漏洞奖金赏金漏洞历史 有趣的开始2014年 - *SRC如雨后春笋2014年 各互联网公司纷纷建立的安全应急响应中心赏金漏洞历史 趋势500450400350300250漏洞数20015010050019952000200520102015赏金漏洞类型赏金漏洞厂商安全应急响应中心第漏洞平台ZDI、 iDefense VCP 、bugcrowd、hackerone、乌云、sobug、漏洞盒子赏金漏洞类型计划奖金礼品名声和参与赏金漏洞子类型子类型why公司从业奖金、礼品自由职业者名声安全者工作机会/With many ey“es all

6、bugs are shallow！- Linus LawHeartbleedWith many eye“s and the right incentiveall bugs are shallow- LinusAmended Law赏金漏洞案例某开源商城系统安全测试赏金池 10W，1时间500025001000赏金漏洞案例311名子参与了安全测试提交41个漏洞3个严重高危漏洞赏金漏洞案例该商城系统自2006年 2014年，网络公布的漏洞数为：27个赏金漏洞案例8%23%others确认、XSSCSRF SQLIClickjack53%37%重复、误报77%传统测试与赏金漏洞对比VS赏金漏洞传统测

7、试传统测试与赏金漏洞对比覆盖面VS渗透测试质量不同技能、成本可控漏洞成本高长期至项目结束覆盖面广少数测试赏金传统赏金漏洞的意义发现未知漏洞漏洞披露流程可控降低成本吸纳如何让的人参与安全测试？赏金软激励荣誉礼品系统排行榜工作前景社区荣誉机会如何让的人参与安全测试？尊重子快速修复，快速付钱吸取经验漏洞盒子漏洞盒子上线一月，超过 4000+ 全球各地子企业、内部应用、代码、移动APP程序安全测试提供整套解决方案完善的漏洞生命周期管理漏洞盒子-如何保障企业漏洞风险可控对象风险实名制，确保项目参与过程不失控，无泄漏，无转手；校验企业用户资质，确保不泄漏信息，不直接与接触；签署合同，确保合法备案，保障双方权益；O风险与客户直接发生奖金过程风险PS安全，避免法律风险；对于高要求，由平台或客户