由NSS Labs经营的渗透测试网站ExploitHub宣布了一项漏洞赏金计划，供研究人员针对Microsoft和Adobe产品中的12个高价值漏洞开发漏洞利用程序。ExploitHub在10月5日的公告中说，渗透测试网站在Microsoft Internet Explorer和Adobe Flash Player中识别出ldquo;肮脏的rdquo;几十个客户端漏洞，并提供了总计4,400美元的可利用漏洞。参与研究的人员将通过网站提交漏洞利用，以获取个人奖励，金额从100美元到500美元不等。研究人员还保留在市场上出售这些漏洞以赚取额外收入的权利。

影响典型的企业网络，错误不是零天，并且已被先前披露。漏洞利用必须是可导致远程代码执行的客户端远程漏洞利用，并且必须针对以下漏洞，这些漏洞由其常见漏洞和披露(CVE)编号标识：CVE-2011-1256，CVE-2011-1266， CVE-2011-1261，CVE-2011-1262，CVE-2011-1963，CVE-2011-1964，CVE-2011-0094，CVE-2011-0038，CVE-2011-0035，CVE-2010-3346，CVE- 2011-2110和CVE-2011-0628。

NSS Labs首席执行官Rick Moy说：ldquo;客户端攻击是现代攻击的首选武器，包括鱼叉式网络钓鱼和所谓的APT(高级持续性威胁)。安全专业人员需要跟上。rdquo; ldquo;该计划旨在加速测试工具的开发，并帮助研究人员通过做好事来做好。rdquo;

根据程序规则，导致拒绝服务的利用程序将不符合本程序的资格，也无法在Metasploit或其他利用程序工具包中使用。

在软件供应商之间，悬赏仍有争议。Mozilla和Google定期向研究人员付款，以披露其产品中的漏洞。

实际上，Google针对其Chrome Web浏览器的最新更新包括七个ldquo;高风险rdquo;安全漏洞，这些漏洞使Windows，Mac OS X和Linux用户受到恶意攻击。Google向研究人员支付了10,000美元，以解决其中的5个错误，赏金范围从1,000美元的文本处理问题到4,500美元的ldquo;事后抢救rdquo;缺陷。研究人员谢尔盖middot;格拉祖诺夫(Sergey Glazunov)仅在这次Chrome更新中就赚了8,000美元。

Mozilla基础设施安全高级经理Michael Coates在9月23日举行的OWASP AppSec USA会议上的讲话中说，自2010年12月启动Web赏金计划以来，Mozilla已经支付了104,000美元的奖励。浏览器及其Web属性的子集。根据Coates于9月27日在网上发布的OWASP演示文稿的幻灯片，在自程序启动以来提交给Mozilla的175个错误中，只有64%实际上有资格获得奖励。

根据严重性，研究人员可获得最高3,000美元的错误赔偿。此外，60%的错误是跨站点脚本缺陷，10%是跨站点请求伪造。支付的钱中有将近75%用于价值3,000美元的高优先级错误。

另一方面，微软和Adobe放弃了奖励计划。Adobe产品安全和隐私高级总监Brad Arkin告诉eWEEK，Adobe认为提供漏洞赏金并不能真正帮助公司保护客户。取而代之的是，Adobe建立关系以吸引研究人员作为承包商来测试和发现漏洞。通过这种方式，该公司可以为研究人员提供适当的工具和工作环境，阿金说。

微软没有在今年的黑帽安全大会上发起ldquo; 蓝帽 rdquo;竞赛，以鼓励研究人员开发缓解技术，以防止攻击者利用内存漏洞来奖励研究人员发现漏洞。该公司将在Black Hat 2012上宣布获奖者并颁发25万美元的现金奖励。

Arkin说，他有兴趣了解Blue Hat如何发挥作用，以确定是否可以为Adobe采用这种模型。