出处:https://www.hackerone.com/blog/become-a-successful-bug-bounty-hunter
如果你梦想成为赏金猎人,你的梦想就会成真 - 不要把你的名字变成“狗”或者在Mos Eisley酒吧面对Han Solo。 成为一个bug赏金猎人:一个有钱寻找软件和网站漏洞的黑客。
任何具有计算机技能和高度好奇心的人都可以成为漏洞的成功者。 你开始时可以年轻或年老。 主要要求是你需要不断学习。 此外,如果你有一个伙伴分享想法,那么学习会更有趣。 以下是我成为安全黑客的方式。
提交有价值且易于理解的错误
质量而不是数量。 生产系统上的远程代码执行比自我XSS更有价值,即使它们都是安全问题。 享受寻找超级严重虫子的快感。 此外,成功的黑客花费大量时间尽可能清楚地描述问题。 达到目的,不要为公司引入不必要的(阅读)开销(额外的措辞也会降低您提交报告的公司的响应能力)。 最后,成功的猎人在开始寻找漏洞之前阅读了该计划政策。
赢得并表示尊重
通过提交有价值的错误来获得尊重。 尊重公司对赏金金额的决定。 如果您不同意他们决定授予的金额,请对您认为值得获得更高回报的原因进行合理的讨论。 避免在没有详细说明为什么你认为自己应得的更多的情况下要求获得其他奖励的情况。 作为回报,公司应尊重您的时间和价值。 他们通过授予赏金,响应和透明,让您参与讨论修复,并要求您测试已部署的修复程序来实现此目的。 沟通和合理得到回报:成功的错误赏金猎人获得大量的工作机会。
做你的作业
如果你对基础知识不满意,那就更舒服了。 我发现了解IP,TCP和HTTP等协议并参加一些(网络)编程课程真的很有帮助。
大多数bug赏金程序都专注于Web应用程序。 要成为网上成功的bug赏金猎人,我建议您查看以下资源:
阅读Web应用程序黑客手册; https://www.amazon.com/The-Web-Application-Hackers-Handbook/dp/1118026470
看看HackerOne公开披露的漏洞; https://hackerone.com/hacktivity?sort_type=popular&filter=type%3Aall&text_query=&page=1
查看Google Bughunter大学。 Google Bughunter University https://sites.google.com/site/bughunteruniversity/
配对练习
如果你有幸拥有一个黑客伙伴,那么尝试一下对我来说效果非常好。 我和我的朋友会写一些小的,易受攻击的程序,互相挑战,找到隐藏的漏洞。 找到一个挑战你的人,并利用你从挑战中学到的东西,找到野外真实目标的真棒。
错误搜寻是所有软件中最受欢迎的技能之一。 这并不容易,但如果做得好,那就非常有益。 就像编写代码一样,请记住,它需要持久性,大量反馈以及成为成功的bug赏金猎人的决心。 在盒子外面思考并尽力而为。
注意:此帖子的一个版本首次出现在Quora上。 在那里关注Jobert以获得更多安全建议! https://www.quora.com/How-do-I-become-a-successful-Bug-bounty-hunter
Jobert Abma,联合创始人
ps - 您可以通过Internet Bug Bounty程序为更加安全的核心互联网基础设施和免费开源软件做出贡献! https://www.hackerone.com/internet-bug-bounty
HackerOne是排名第一的黑客驱动的安全平台,可帮助组织在犯罪被利用之前发现并修复关键漏洞。 作为传统渗透测试的现代替代方案,我们的漏洞赏金计划解决方案包括漏洞评估,众包测试和负责任的披露管理。 详细了解我们的安全测试解决方案或立即联系我们。
扫一扫
512
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
