在“白人”意义上，向研究人员支付费用以购买漏洞或漏洞利用的最著名公司是：

• TippingPoint 的零日倡议 (ZDI)：http ://www.zerodayinitiative.com/
• iDefense http://labs.idefense.com/vcp/
• iSight https://gvp.isightpartners.com
• SecuriTeam http://www.beyondsecurity.com/ssd.html
• Netragard http://snosoft.blogspot.com/2010/03/recent-news-on-forbes-about-our-exploit.html
• COSEINC和Immunity等几家漏洞利用研究公司也从研究人员那里购买，尽管它的广告并不多。

某些公司，如 Mozilla 和 Google 已经建立了漏洞赏金计划——他们自己购买软件的漏洞。

Charlie Miller（著名的漏洞利用开发者）写了一篇关于这个主题的小论文——读起来很有趣：合法漏洞市场：0 天漏洞利用销售的秘密世界（2007 年）

像 pwn2own 这样的漏洞赏金计划和比赛浮现在脑海中。

不会是一个详尽的列表，而是提供错误赏金的大公司：

• 谷歌： http: //blog.chromium.org/2010/01/encouraging-more-chromium-security.html

• Mozilla：https ://www.mozilla.org/security/bug-bounty.html

• 脸书：https ://www.facebook.com/security?v=app_6009294086

微软是一个明显的例外。

您还可以获得大学和政府的研究资助。

我想说这与操作顺序有很大关系：

勒索：

• 发现漏洞
• 联系公司并要求付款

虎队：

• 联系公司并谈判合同
• 发现漏洞

除非已经设置了错误查找程序，否则在没有预先存在的合同的情况下尝试查找漏洞和黑客攻击看起来几乎相同。

我认识一些独立/小型公司顾问，他们设法以公司老虎队的身份谋生。我想说最难的部分是获得声誉，所以你可以向公司证明你应该是他们为这项工作付钱的人。