出处:https://www.hackerone.com/blog/become-a-successful-bug-bounty-hunter

如果你梦想成为赏金猎人,你的梦想就会成真 - 不要把你的名字变成“狗”或者在Mos Eisley酒吧面对Han Solo。 成为一个bug赏金猎人:一个有钱寻找软件和网站漏洞的黑客。

任何具有计算机技能和高度好奇心的人都可以成为漏洞的成功者。 你开始时可以年轻或年老。 主要要求是你需要不断学习。 此外,如果你有一个伙伴分享想法,那么学习会更有趣。 以下是我成为安全黑客的方式。

提交有价值且易于理解的错误

质量而不是数量。 生产系统上的远程代码执行比自我XSS更有价值,即使它们都是安全问题。 享受寻找超级严重虫子的快感。 此外,成功的黑客花费大量时间尽可能清楚地描述问题。 达到目的,不要为公司引入不必要的(阅读)开销(额外的措辞也会降低您提交报告的公司的响应能力)。 最后,成功的猎人在开始寻找漏洞之前阅读了该计划政策。

赢得并表示尊重

通过提交有价值的错误来获得尊重。 尊重公司对赏金金额的决定。 如果您不同意他们决定授予的金额,请对您认为值得获得更高回报的原因进行合理的讨论。 避免在没有详细说明为什么你认为自己应得的更多的情况下要求获得其他奖励的情况。 作为回报,公司应尊重您的时间和价值。 他们通过授予赏金,响应和透明,让您参与讨论修复,并要求您测试已部署的修复程序来实现此目的。 沟通和合理得到回报:成功的错误赏金猎人获得大量的工作机会。

做你的作业

如果你对基础知识不满意,那就更舒服了。 我发现了解IP,TCP和HTTP等协议并参加一些(网络)编程课程真的很有帮助。
大多数bug赏金程序都专注于Web应用程序。 要成为网上成功的bug赏金猎人,我建议您查看以下资源:

阅读Web应用程序黑客手册;          https://www.amazon.com/The-Web-Application-Hackers-Handbook/dp/1118026470
看看HackerOne公开披露的漏洞;      https://hackerone.com/hacktivity?sort_type=popular&filter=type%3Aall&text_query=&page=1
查看Google Bughunter大学。     Google Bughunter University   https://sites.google.com/site/bughunteruniversity/

配对练习

如果你有幸拥有一个黑客伙伴,那么尝试一下对我来说效果非常好。 我和我的朋友会写一些小的,易受攻击的程序,互相挑战,找到隐藏的漏洞。 找到一个挑战你的人,并利用你从挑战中学到的东西,找到野外真实目标的真棒。

错误搜寻是所有软件中最受欢迎的技能之一。 这并不容易,但如果做得好,那就非常有益。 就像编写代码一样,请记住,它需要持久性,大量反馈以及成为成功的bug赏金猎人的决心。 在盒子外面思考并尽力而为。

注意:此帖子的一个版本首次出现在Quora上。 在那里关注Jobert以获得更多安全建议!   https://www.quora.com/How-do-I-become-a-successful-Bug-bounty-hunter

Jobert Abma,联合创始人

ps - 您可以通过Internet Bug Bounty程序为更加安全的核心互联网基础设施和免费开源软件做出贡献!  https://www.hackerone.com/internet-bug-bounty

HackerOne是排名第一的黑客驱动的安全平台,可帮助组织在犯罪被利用之前发现并修复关键漏洞。 作为传统渗透测试的现代替代方案,我们的漏洞赏金计划解决方案包括漏洞评估,众包测试和负责任的披露管理。 详细了解我们的安全测试解决方案或立即联系我们。

How to become a successful bug bounty hunter的更多相关文章

  1. Bug Bounty Reference

    https://github.com/ngalongc/bug-bounty-reference/blob/master/README.md#remote-code-execution Bug Bou ...

  2. 【10.14】Bug Bounty Write-up总结

    我很喜欢今天的看到的write-up,因为作者是针对他对一个网站整体进行漏洞挖掘的过程写的,内容包括几个不同的漏洞,从中能够学习到怎样系统性的挖掘漏洞. write-up地址:[Bug bounty ...

  3. 【10.13】Bug Bounty Write-up 总结

    今天惯例邮箱收到了Twitter的邮件提醒有新的post,这种邮件每天都能收到几封,正好看到一个Bug Bounty的write up,比较感兴趣,看起来也在我的理解范围之内,这里对这篇write u ...

  4. CodeForcesGym 100753B Bounty Hunter II

    Bounty Hunter II Time Limit: 5000ms Memory Limit: 262144KB This problem will be judged on CodeForces ...

  5. 5 THINGS TOP BUG BOUNTY HUNTERS DO DIFFERENTLY

    出处:https://www.hackerone.com/blog/5-things-top-bug-bounty-hunters-do-differently 本周,我们有幸收容了50名比利时科技学 ...

  6. CodeForcesGym 100753B Bounty Hunter II 二分图最小路径覆盖

    关键在建图 题解:http://www.cnblogs.com/crackpotisback/p/4856159.html 学习:http://www.cnblogs.com/jackiesteed/ ...

  7. csu1527: Bounty Hunter

    Time Limit:5000MS     Memory Limit:131072KB     64bit IO Format:%lld & %llu Submit Status id=134 ...

  8. Gartner 2018 年WAF魔力象限报告:云WAF持续增长,Bot管理与API安全拥有未来

    Gartner 2018 年WAF魔力象限报告:云WAF持续增长,Bot管理与API安全拥有未来 来源 https://www.freebuf.com/articles/paper/184903.ht ...

  9.  Meltdown论文翻译【转】

    转自:http://www.wowotech.net/basic_subject/meltdown.html#6596 摘要(Abstract) The security of computer sy ...

随机推荐

  1. 【读书笔记】Linux内核设计与实现(第十八章)

    18.1 准备开始 需要: 1.一个确定的bug.但是,大部分bug通常都不是行为可靠定义明确的. 2.一个藏匿bug的内核版本. 18.2 内核中的bug bug发作时的症状: 明白无误的错误代码( ...

  2. 第二个Sprint冲刺第四天(燃尽图)

  3. C++学习记录(留坑)

    #include <iostream> #include <ctime> #include <fstream> ///文件打开有o.i权限 #include < ...

  4. 学习官方示例 - TForm.BorderIcons

    本例用一行代码禁用了最大化按钮. unit Unit1; interface uses   Windows, Messages, SysUtils, Variants, Classes, Graphi ...

  5. ubuntu下java JDK环境配置

    ubuntu下配置JDK环境变量ubuntu下的JDK配置本质上和win一样的:1.去官网下载JDK,选择适合自己版本,我下载的版本是jdk-8u121-linunx-x64.tag.gz,官方网址h ...

  6. Exploring Pyramids UVALive - 3516 (记忆化DP)

    题意:给定一个序列 问有多少棵树与之对应 题目连接:https://cn.vjudge.net/problem/UVALive-3516 对于这一序列  分两种2情况 当前分支 和 其它分支  用df ...

  7. youcompleteme 自动补全

    1. 拷贝配置文件 cp ~/.vim/bundle/YouCompleteMe/cpp/ycm/.ycm_extra_conf.py ~/.vim/.ycm_extra_conf.py 2. 修改配 ...

  8. luogu1081 [NOIp2012]开车旅行 (STL::multiset+倍增)

    先用不管什么方法求出来从每个点出发,A走到哪.B走到哪(我写了一个很沙雕的STL) 然后把每个点拆成两个点,分别表示A从这里出发和B从这里出发,然后连边是要A连到B.B连到A.边长就是这次走的路径长度 ...

  9. 前端学习 -- Html&Css -- 相对定位 绝对定位 固定定位

    相对定位 - 定位指的就是将指定的元素摆放到页面的任意位置,通过定位可以任意的摆放元素. - 通过position属性来设置元素的定位. -可选值: static:默认值,元素没有开启定位: rela ...

  10. LeetCode 5回文数

    判断一个整数是否是回文数.回文数是指正序(从左向右)和倒序(从右向左)读都是一样的整数. 示例 1: 输入: 121 输出: true 示例 2: 输入: -121 输出: false 解释: 从左向 ...