新闻链接：http://www.2cto.com/News/201605/510273.html
新闻时间：2016-05-19  
新闻正文： 近日，Offensi.com的白帽黑客在美国联合航空公司的一个网站上发现了一个远程代码执行漏洞，他们向该公司的漏洞悬赏计划递交了漏洞报告，因此获得了1百万英里“飞行里程”奖励。现在问题来了，白帽子用了这些奖励做了啥?
2015年7月17日，美国联合航空公司(United Continental) 也加入了漏洞奖励这个行列。他们推出了一个Bug赏金计划，其目标是发现公司网站或者是应用程序中的错误，但是报酬是——航空里程。

该航空公司表示，希望这能进一步加强其网站的安全。这么做也比聘请网络安全咨询公司来解决问题还要便宜。该公司在其网站上说：“我们相信这项计划能进一步加强我们的保安，让我们继续提供优质的服务。”

截止目前，联合航空已经为3名成功找到bug的黑客奖励了百万里程，理论上这可以让他们从美国横跨大西洋飞往欧洲33次。就职于网络安全公司Velocity35，专门研究网络漏洞的Jordan Wiens曾经发布了一条Twitter，表示他获得了美联航的百万里程奖励。
漏洞赏金标准：

漏洞等级

提交内容

奖赏标准

高危漏洞

远程执行代码

100万里程

中危漏洞

身份认证绕过、潜在的个人信息泄露、时间差攻击漏洞等

25万里程

低危漏洞

跨站脚本、跨站请求伪造、影响联合航空的第三方问题等

5万里程

值得提醒的是，联合航空寻求的是与其网站相关的特定漏洞，入侵飞机和DDoS属于禁止名单上的攻击行为。

禁止名单还包括：

暴力破解

代码注入在线系统

入侵或测试别人的飞行里程账户(自己的可以)

在飞机上测试航空系统，如娱乐系统或Wifi

威胁、强迫或勒索内部人员和乘客

扫描联合航空的服务器

用漏洞奖励做公益

近日，Offensi.com的白帽黑客在美国联合航空公司的一个网站上发现了一个远程代码执行漏洞，他们向该公司的bug悬赏计划递交了漏洞报告，获得了1百万英里飞行里程奖励。

如果有人给你百万航空里程，你会怎么做?这是我们在提交美国联合航空公司漏洞，获得漏洞悬赏后必须要回答的问题。

漏洞细节细节后的一天，白帽子Offensi的收件箱出现这样一封邮件：

Offensi，

恭喜!

我们已经开始对您提交的漏洞进行修复处理。作为有效漏洞的提交者，您将收到一百万里程的奖励!为了将您的里程存入账户，我们有几个问题需要向您咨询。所以我们提供了相应的纳税申报表，美国国税局将从该项奖励中获取2万美元的应税收入。

如果您在评估应纳税所得额后选择不接受您的奖励，您可以将奖励捐赠给慈善机构。

1)您的MileagePlus帐号是多少?

2)你是美国公民吗?

3)是否是在美国本土进行的研究测试?

再次感谢你，有其他任何问题欢迎咨询!

Carla, Josh, Becky, and Ben

漏洞赏金计划

棒极了!在收到邮件的第一时间，浮现在脑海的画面就是Frank Sinatra演唱的“come fly with me, let’s flylet’s fly away, if you can use some exotic booze there’s a bar in far Bombay…”。但是，很快地他意识到拥有MileagePlus的百万里程根本没有任何意义，航空里程并没有什么卵用。幸运的是，我们可以做出一个伟大的选择：将它捐赠给慈善机构!

我们恳请美国联合航空公司作出以下捐款(因个人原因)：

麦当劳叔叔之家慈善机构：50万里程;

肌肉萎缩症协会：25万里程;

Casa deEsperanza de los Ninos Organization：25万里程;

美国联合航空公司在回件中表示：

Offensi，

我们谨代表Bug赏金团队，感谢你们对漏洞赏金计划的贡献。你的专业知识，帮助我们的网站更好的保护我们客户的安全。我们还要代替麦当劳叔叔之家慈善，Casa de Esperanza de los Ninos Organization以及肌肉萎缩症协会感谢您所捐赠的里程，我们将以您的名义将一万里程全数捐出。

非常感谢!

Carla

漏洞赏金计划

票务服务器的漏洞意味着收入的损失，航空电子设备的漏洞意味着意外坠毁，甚至是生命的代价。虽然可能许多白帽子会对这种英里式的报酬交换嗤之以鼻，但是这比一些提供公仔、T恤、贴纸或者是其他的东西的公司要实际得多。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课