2014年5月,出现了三个安全众测服务平台:乌云众测、Sobug、Freebuf漏洞盒子。
服务模式基本一致:厂商发布安全测试项目,挑选白帽子进行测试,按照发现的漏洞其风险等级付费。
这种模式解决了2个问题:
1.授权问题:白帽子可以在客户的授权下进行测试,没有法律风险,白帽子对测试结果保密;
2.白帽子收入问题:让白帽子有尊严的赚钱,不再像之前挖出漏洞寻求厂商奖励或勒索厂商(涉嫌违法)。
对厂商来说,比聘请专业安全顾问团队进行评估,成本要降低不少,且具有风险可控、效果佳(众测效果接近于真实的黑客攻击)的优势。