ค่าหัวแมลง

Bug Bounty Program คือการจัดการที่มีโครงสร้างซึ่งบริษัทต่างๆ จ่ายเงินให้กับนักวิจัยด้านความปลอดภัยเพื่อค้นหาและเปิดเผยช่องโหว่อย่างมีความรับผิดชอบ โมเดลดังกล่าวเกิดขึ้นจาก Netscape ในปี 1995 แต่กลายเป็นกระแสหลักในช่วงปี 2010-2013 เมื่อ Facebook, Google และ Microsoft เปิดตัวโปรแกรมสำคัญ ๆ ขณะนี้ดำเนินการโดยตรงหรือผ่านแพลตฟอร์ม เช่น HackerOne, Bugcrowd, Intigriti และ Synack

วิธีการทำงานของการมีส่วนร่วมกับค่าหัวบั๊ก

1. บริษัทเผยแพร่ policy: ระบบใดบ้างที่อยู่ในขอบเขต ซึ่งอยู่นอกขอบเขต ชนิดของข้อบกพร่องที่มีคุณสมบัติเหมาะสม สิ่งที่ได้รับรางวัล และอย่างไร มาก
2. นักวิจัยทดสอบระบบในขอบเขตภายใต้กฎการมีส่วนร่วม (ไม่มี DoS, ไม่มีวิศวกรรมสังคมของพนักงาน, ไม่มีการแสวงหาผลประโยชน์จากข้อมูลผู้ใช้จริง)
3. เมื่อพวกเขาพบช่องโหว่ พวกเขาจะเขียนรายงานโดยละเอียดรวมถึงการพิสูจน์แนวคิดและคำแนะนำในการแก้ไข
4. ทีมรักษาความปลอดภัยของบริษัทตรวจสอบ คัดแยก และขอ ชี้แจง
5. หากถูกต้อง จุดบกพร่องจะได้รับการชำระตามความรุนแรง ข้อบกพร่องที่สำคัญจะได้รับการจ่ายเงินรางวัลมากที่สุด การค้นพบข้อมูลจะได้รับรางวัลขอบคุณหรือโทเค็น
6. บริษัทแก้ไขข้อบกพร่อง ในที่สุดนักวิจัยและบริษัทอาจเผยแพร่รายละเอียดหลังจากใช้การแก้ไขแล้ว

ช่วงการจ่ายเงิน

ช่วงทั่วไปปี 2026:

• ความรุนแรงต่ำ — 100-1,000 ดอลลาร์ (การเปิดเผยข้อมูลของข้อมูลที่มีผลกระทบต่ำ ไม่มี XSS เล็กน้อย การบุกรุกบัญชี)
• Medium — 1,000-5,000 ดอลลาร์ (XSS, CSRF ที่เก็บไว้สำหรับการดำเนินการที่สำคัญ, IDOR พร้อมการเปิดเผยข้อมูลอย่างจำกัด)
• High — 5,000-25,000 ดอลลาร์ (การแทรก SQL, การครอบครองบัญชี, IDOR แบบกว้างๆ, การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ด้วย การเข้าถึงเครือข่ายภายใน)
• Critical — 25,000-200,000 ดอลลาร์สหรัฐฯ+ (การเรียกใช้โค้ดจากระยะไกล การเปิดเผยข้อมูลจำนวนมาก การเพิ่มสิทธิพิเศษให้กับผู้ดูแลระบบ)
• Mega-bounty — 250,000 ดอลลาร์สหรัฐฯ+ (RCE แบบกดเป็นศูนย์บนผลิตภัณฑ์เรือธงจากบริษัทอย่าง Apple Microsoft, Google)

โครงการวิจัยด้านความปลอดภัยของ Apple ได้จ่ายเงินรางวัลเดียวที่มากกว่า 1 ล้านเหรียญสหรัฐสำหรับช่องโหว่ iOS แบบเต็มรูปแบบ โปรแกรม Vulnerability Reward ของ Google จ่ายเงินสะสมไปแล้วนับล้าน Pwn2Own เสนอเงินกว่า 250,000 ดอลลาร์สหรัฐฯ สำหรับการสาธิตการหาช่องโหว่บางอย่างแบบสด

แพลตฟอร์มขนาดใหญ่

• HackerOne — ใหญ่ที่สุดตามจำนวนโปรแกรม โฮสต์โปรแกรมสำหรับกระทรวงกลาโหมสหรัฐฯ ("Hack the Pentagon"), GitHub, Goldman Sachs, Shopify และอีกมากมาย
• Bugcrowd — คู่แข่งรายใหญ่ แข็งแกร่งในด้านบริการทางการเงินและภาครัฐ
• Intigriti — เน้นที่ยุโรป โดดเด่นสำหรับบริษัทรายใหญ่ในสหภาพยุโรป
• Synack — นักวิจัยที่ได้รับเชิญเท่านั้น ฐานลูกค้าระดับพรีเมียม
• Zero Day Initiative — ซื้อช่องโหว่จาก นักวิจัยรายงานไปยังผู้ขาย ดำเนินการ Pwn2Own
• Self-hosted — Apple, Microsoft, Google, Facebook, Amazon และอื่นๆ รันโปรแกรมของตนเองโดยตรง

เศรษฐศาสตร์

สำหรับบริษัทต่างๆ รางวัลข้อบกพร่องจะมีราคาถูกกว่าอย่างมากต่อช่องโหว่ที่พบมากกว่าการเจาะระบบภายใน การจ่ายเงิน 5,000 ดอลลาร์สำหรับการค้นพบที่สำคัญนั้นน้อยกว่าต้นทุนของการละเมิดอย่างมาก Bounties ยังเข้าถึงกลุ่มนักวิจัยทั่วโลกที่มีทักษะหลากหลาย ทีมงานภายในมีความเชี่ยวชาญที่จำกัด

สำหรับนักวิจัย ค่าหัวบั๊กสามารถเป็นอาชีพได้ นักวิจัยชั้นนำมีรายได้สูงหกหลักหรือเจ็ดหลักต่อปี หลายคนทำงานเต็มเวลาในฐานะนักวิจัยอิสระ คนอื่นให้เงินรางวัลนอกเหนือจากงานประจำวัน

การแข่งขันด้านอุปทานมีความสำคัญ นักล่าค่าหัวแมลงหลายคนมีทักษะแต่ต้องแข่งขันกันเพื่อให้ได้แมลงชนิดเดียวกัน รายงาน "ซ้ำกัน" — เมื่อบุคคลอื่นรายงานข้อผิดพลาดเดียวกันก่อน — ไม่ได้รับอะไรเลย

บรรทัดฐานการเปิดเผยช่องโหว่

Bug โปรแกรมค่าหัว Bug ทำงานภายใต้การเปิดเผยข้อมูลร่วมกัน: จุดบกพร่องจะยังคงเป็นส่วนตัวจนกว่าผู้ขายมีเวลาที่เหมาะสมในการแก้ไข โปรแกรมส่วนใหญ่อนุญาตให้เปิดเผยต่อสาธารณะหลังจากการแก้ไขหรือหลังจาก 90 วัน นักวิจัยที่เปิดเผยล่วงหน้าโดยไม่ได้รับอนุญาตอาจสูญเสียเงินรางวัลและสร้างความเสียหายต่อชื่อเสียงของพวกเขา

การแข่งขัน Pwn2Own และกิจกรรมที่คล้ายกันมีรูปแบบที่แตกต่างกัน: นักวิจัยสาธิตการหาประโยชน์แบบสด ได้รับเงินจากการประชุม และช่องโหว่จะถูกเปิดเผยต่อผู้ขายตามไทม์ไลน์ที่ประสานกัน

ตลาดสีเทาและโบรกเกอร์แบบ Zero-day

Bug Bounties แข่งขันกับระบบนิเวศแบบคู่ขนานของโบรกเกอร์ที่มีช่องโหว่ ที่ซื้อ Zero-Day สำหรับการใช้งานเชิงรุก — Zeroodium, Crowdfense, หน่วยงานวิจัยของ NSO Group, การเข้าซื้อกิจการของรัฐบาล ผู้ซื้อเหล่านี้จ่ายเงินมากกว่าค่าหัวบั๊กที่ถูกต้องตามกฎหมาย — Zeroodium จ่ายเงิน 2-2.5 ล้านดอลลาร์สำหรับการหาช่องโหว่บน iOS เทียบกับค่าหัวของ Apple ประมาณ 1 ล้านดอลลาร์สำหรับข้อบกพร่องที่คล้ายกัน

การตัดสินใจทางจริยธรรมขึ้นอยู่กับผู้วิจัย นักวิจัยที่ขายให้กับผู้ซื้อในตลาดสีเทารู้ว่าการหาประโยชน์ดังกล่าวจะถูกนำมาใช้กับเป้าหมายที่แท้จริง ซึ่งบางครั้งอาจเป็นนักข่าวหรือนักเคลื่อนไหว เส้นทางค่าหัวที่ถูกต้องจ่ายน้อยกว่าแต่รับประกันว่าจุดบกพร่องได้รับการแก้ไขแล้ว

การค้นพบค่าหัวจุดบกพร่องทั่วไป

• การเลี่ยงการอนุญาต / IDOR — การเข้าถึงข้อมูลที่เป็นของผู้ใช้รายอื่นโดยการจัดการ ID ในการเรียก API
• SSRF — โน้มน้าวเซิร์ฟเวอร์ เพื่อส่งคำขอไปยังโครงสร้างพื้นฐานภายใน
• Stored XSS — การแทรก JavaScript ที่ทำงานบนเบราว์เซอร์ของผู้ใช้รายอื่น
• SQLการฉีด — ยังคงพบอยู่ โดยเฉพาะในแอปรุ่นเก่าและ APIs
• Authentication จุดอ่อน — การรีเซ็ตรหัสผ่านที่อ่อนแอ โทเค็น การใช้ซ้ำ, การเลี่ยง MFA
• Cloud การกำหนดค่าที่ไม่ถูกต้อง — บัคเก็ต S3 ที่เปิดเผย, ตำแหน่งข้อมูล Lambda สาธารณะ, Kubernetes APIs ที่ไม่ได้รับการป้องกัน
• Race Conditions — การใช้ประโยชน์จากการดำเนินการที่เกิดขึ้นพร้อมกันเพื่อบายพาสการตรวจสอบ
• ตรรกะทางธุรกิจ ข้อบกพร่อง — ข้อบกพร่องในการทำธุรกรรมที่ไม่สอดคล้องกับหมวดหมู่ช่องโหว่มาตรฐาน

วิธีเข้าถึงค่าหัวบั๊ก

• เรียนรู้พื้นฐานของเว็บ — HTTP, เบราว์เซอร์, สถาปัตยกรรมแอปพลิเคชันทั่วไป
• ฝึกฝนบนแพลตฟอร์มที่มีช่องโหว่โดยเจตนา — Hack The Box, TryHackMe, PortSwigger Web Security Academy
• อ่านรายงานสาธารณะ — HackerOne และ Bugcrowd เผยแพร่รายงานที่เปิดเผยเป็นทรัพยากรการเรียนรู้
• เริ่มต้นด้วยโปรแกรมสาธารณะที่ยินดีต้อนรับผู้เริ่มต้นอย่างชัดเจน
• มุ่งเน้นไปที่คลาสข้อบกพร่องเฉพาะจนกว่าคุณจะทำได้ดี
• Patience — เดือนแรกอาจให้ผลน้อยหรือไม่มีเลย finds

อุปสรรคในการเข้าสู่ตลาดมีน้อย (แพลตฟอร์มฟรี ทรัพยากรการเรียนรู้ฟรี) แต่การลงทุนด้านเวลาเพื่อให้มีประสิทธิภาพเป็นสิ่งสำคัญ ชุมชนได้รับการสนับสนุน การแข่งขันมีอยู่จริง