本文作者Ozgur Alp 是一名土耳其的独立漏洞猎人兼攻击安全顾问。他在四年的时间里通过挖掘漏洞赢得100万美元的奖励,以下是他对自己个人经验的总结,奇安信代码卫士团队编译如下,希望能给读者带来一些启发。
我收到很多萌新关于挖洞方面的问题和请求,所以专门写下这篇文章,谈谈如何开始以及如何获得成功。
首先,我想说的是,在任何领域包括挖洞领域,通往成功的路不止一条。每个人的个性、性格、专长和条件各不相同,成功的标准也各不相同。我写的只是我在4年内赚得100万美元的个人经验和思维方式。
01
如何开始/劝退?
如果你总是询问其他人如何在猎洞行业获得成功或者如何让他们当作自己的导师,那么我敢肯定地告诉你,这不是正确的方法。在任何领域,任何人都没有一个简单的成功公式。所以,第一件要做的事就是,停止泛泛地问别人“如何”的问题,而是应该自己做功课,对这个领域做一些研究,找到适合你自己的且有益于后续进行猎洞的思维方式。
我在伊斯坦布尔比尔基大学教授《网络安全基础》课程的四年中,第一学期放的幻灯片是:
这个理念可以扩展到任何领域,在猎洞行业:
“学会如何使用谷歌”超级关键。四年来我每天使用谷歌的次数大概是50次到100次。如果你知道有效使用谷歌引擎的方式,你可以更快更聪明地找到自己要查找的东西。想要了解如何有效使用,那就从谷歌上搜索这个答案开始吧。
如果你的母语不是英语,那么学习英语和学会使用谷歌引擎一样重要。2021年最国际化的语言是英语,而且你可以从中找到几乎所有的资源。
我在最初的幻灯片中提到了土耳其语(我的母语),因为在任何领域想要成功,掌握自己的母语很重要。如果你连自己的母语都掌握不好,就无法使用/学习/掌握好其它语言。此外,我们的母语是我们看向世界的关卡。把这一点应用到猎洞领域就是:理解你所阅读/研究的内容、和其他人谈论共同的兴趣、编写一份良好的报告、和报告评审人员讨论;你需要掌握母语和英语。萨皮尔沃夫 (Sapir-Whorf) 假说认为“不同的语言结构形成了不同的世界观或认知,因此人们的观点和他们的口语有关。” 我很赞同这一看法,因为语言真的会影响我们的人生观,包括我们接触任意主题的方法。所以更好地掌握母语外加一门其它语言可能会让你对人类有一种新的不同的观点。(如果你对这个话题感兴趣,推荐观看2016年的科幻影片 Arrival。)
“找到自己的擅长领域/专长”对于未来成为这一行业的专家并脱颖而出十分重要。现实中的一个例子是 Tommy,他指出自己几乎所有的猎洞收入都源自SSRF这个漏洞类型,这很好地说明了专注于某一领域可以变现。
“技术知识和经验”是你能在猎洞领域投入的全部。相比其它工作理念/实践(如酒酿行业已经拥有千年历史和经验),猎洞(以及几乎所有IT领域)仍然是日新月异的新行业,所以和其它行业相比,提升它的价值相对要容易。
我不会再赘述“与时俱进“,因为显然信息技术日新月异,而如果不是这样,那么你找到的漏洞就会过时了。
从猎洞角度来讲,和上述几点相比,“拓展网络/社交技能“并不是那么重要,但拥有这种技能可以给你带来新机会。人类原本就是社交动物,社区协作总会带来积极发展。
02
如何获得成功?
从我的个人经验以及对其它漏洞猎人的职业路径/简历来看,可以这么说,如果你有渗透测试/攻击安全研究经验,那么就会更容易适应猎洞行业。不过就像之前所述,不能以偏概全,而且我指导很多成功的漏洞猎人甚至并未上大学或者还不到上大学的年龄。所以一切都取决于个体本身。你可以在14岁就获得成功,也有可能完成计算机科学博士学位之后仍然失败。
首先,这里说的“成功“定义非常重要,而且也因人而异。多数时候成功的标准以金钱衡量,然而可以说,相比常规工作,通过挖洞获得成功的机率更大。我个人认为我选择挖洞而不是常规工作主要基于以下几点:
自己当老板:如果你很自律而且不喜欢来自上级不合逻辑的任务,那么猎洞行业非你莫属。这是我最喜欢猎洞行业的一点。可以自己说了算。
绩效基础上的酬劳:如果你想赚更多的钱,但不想换工作,那么你可以晚上工作;
弹性工作时间:多数新型的IT工作都有这个好处,但能不需要别人批准就能休假一天或一个月的感觉仍然很棒。
所以,即使常规工作能赚到同样的钱,但基于以上几点我仍然会选择猎洞。于我而言,获得以上好处的吸引力要大于赚大钱。一言以蔽之,要获得成功,我们必须首先定义自己的成功标准。
好吧,我自己的成功标准是金钱。那怎么才能到赚100万美元呢?
首先要知道,经验水平不同,路径就不同:
如果你没有任何IT经验,那么难度最高。要在这个行业获得成功,你真的要学习IT基础知识如网络、主机、软件、协议等等,基本上所有东西都需要学。如果不了解这些知识就去挖洞,将会十分困难。我建议首先理解这些技术,如安装 web 服务、创建DNS服务器、学习一门编程语言等,之后可以专注于安全领域。
如果你有一些IT经验但没有渗透经验,那么虽然不是最难的但仍然有难度。这时候你的重点就是学习安全原则。我们为什么需要安全?我们试图保护的是什么?我们防护的是谁?我们如何实施防护?哪些可以成为入口点?攻击类型有哪些?如果你可以逐一回答这些问题,那么你就有了一些进攻安全的基础了。
如果你像我一样拥有渗透经验,那么可以这么说,猎洞领域和渗透的区别很大,适应这一点有点难度。猎洞不是找到渗透项目中所有不同等级的所有漏洞,而是需要找到可利用的漏洞而非理论上的漏洞。我记得曾经报告过渗透项目中的 SQLi 漏洞,字符 ‘ 错误或报告HTML响应中的<>逃逸,而不必尝试真的转储DB中的信息或绕过WAF执行成功的XSS攻击。这时候你需要找到真实世界中的真正漏洞和影响。
我个人偏向于并推荐学习安全概念和参加网络培训之后再挖掘漏洞。虽然不具备很强的技能仍然可以找到漏洞,但多数时候这些漏洞是通过短暂的运气找到的,这会让你未来很矛盾。
开始猎洞后,如下是我在长短期的心理应用方法:
保持一致性:尤其是刚开始的头几年,一致性非常重要。有些时候你会提交一些有效报告,有些时候一无所获。因此保持一致性将会提升你每天/周找到有效报告的机会。
目标和动力:尤其在猎洞的最初几天/几个月内,非常容易失去动力。我个人感受是一天之中无法找到任何漏洞时就会失去动力。我觉得有效的一个解决方法是同时关注中长期的可行目标而不是计较一日的得失。重要的是自己平均能获得的东西。设立每周/每月/每年的可实现目标并真正去实现它们能够获得内在满足感。
漏洞的多样性:如果你仅关注XSS漏洞,那么就只能报告 XSS 漏洞。尤其对于新人而言,进行多种漏洞类型的测试非常重要。在第一年猎洞时我查看并报告所有的漏洞类型。这样你可以拥有更多的有效报告,将同时降低在酬劳方面的压力和无法找到任何东西的担忧。
关注某些类型:和之前提到的Tommy 与 SSRF 的案例一样,尤其是猎洞一段时间后,关注某些漏洞类型并提升相关技术知识进而成为这一方面的专家会给行业带来很大的不同。尤其在我猎洞的第二年,我开始关注自己热爱的某些类型如授权/身份验证。阅读关于这一类型的一切内容。将全部所学知识应用到实践重。手动分析每个请求和响应。在某个步骤,你就能找到独属于你的漏洞类型!
学习平台/心态:每个漏洞平台、目标、计划、鉴别人员等都有自己的不同之处。在过去的4年半(我的猎洞生涯),我几乎只关注某个平台(80%-85%的时间)并获得成功。虽然最初几年我每周基本是测试新系统/目标,尤其是在过去2年内,我每隔6个月就会再次测试一遍那些老旧目标,我的大部分奖金都是从这些目标获得的。在这个阶段,我发现应用程序的所有人在修复已报告的漏洞时会创造出很多不同的漏洞,多数时候这一点都会被忽视。而且测试同样的技术将会让你获得更深入的技术知识,从而可能让你报告更复杂和不易发现的漏洞。因此在测试不同的应用程序/目标能够扩展你的知识,而时不时地测试同样的目标会让你发现此前未曾注意到的漏洞。
设立自己的思维方式:我所遇到的每个成功的漏洞猎人都有自己的测试方法,这是经过一段时间后沉淀而来的。因此需要找到适合自己的方法并不断精进。
03
最后的感想
就像我在开头说的那样,“在任何领域获得成功的方法都不是唯一的。“每个人都有自己独特的旅程。我们可以借鉴前辈的经验获得自身发展,但我们各自的旅程终归由个体努力和勤奋决定。
祝安全,好运!
推荐阅读
原文链接
https://ozguralp.medium.com/?p=e15ee62d6f4
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
