Entry № 150
漏洞赏金猎人
漏洞赏金猎人 是什么?
漏洞赏金猎人独立的安全研究人员,通过漏洞赏金或协调披露计划向厂商报告漏洞,以换取金钱奖励与公开致谢。
漏洞赏金猎人是一名独立安全研究人员,在限定范围的目标上挖掘漏洞,通过 HackerOne、Bugcrowd、Intigriti、YesWeHack 等平台或厂商自建的赏金/协调披露渠道提交报告。其收入按漏洞计算,极度向严重等级倾斜,顶级研究者每年可获得六位到七位数美元的赏金以及现场黑客大赛奖金。多数猎人以全职自由职业或在攻防安全岗位上兼职形式开展工作,后续常向企业渗透测试或厂商 AppSec 岗位转型。这一职业没有固定路径,声誉来自有效报告流水、CVE 致谢与公开 writeup。严格遵守范围与法律 safe harbor、去重以及报告质量,是维持长期收入的关键。
● 示例
- 01
通过 HackerOne 向某 SaaS API 报告一个 SSRF 漏洞,获得 25,000 美元赏金。
- 02
在现场黑客活动中凭借某大型移动应用的链式 RCE 漏洞夺冠。
● 常见问题
漏洞赏金猎人 是什么?
独立的安全研究人员,通过漏洞赏金或协调披露计划向厂商报告漏洞,以换取金钱奖励与公开致谢。 它属于网络安全的 角色与职业 分类。
漏洞赏金猎人 是什么意思?
独立的安全研究人员,通过漏洞赏金或协调披露计划向厂商报告漏洞,以换取金钱奖励与公开致谢。
如何防御 漏洞赏金猎人?
针对 漏洞赏金猎人 的防御通常结合技术控制与运营实践,详见上方完整定义。
漏洞赏金猎人 还有哪些其他名称?
常见的别称包括: 漏洞猎人, 赏金猎人(安全)。