如果你梦想成为赏金猎人,你的梦想就会成真 - 不要把你的名字变成“狗”或者在Mos Eisley酒吧面对Han Solo。 成为一个bug赏金猎人:一个有钱寻找软件和网站漏洞的黑客。
任何具有计算机技能和高度好奇心的人都可以成为漏洞的成功者。 你开始时可以年轻或年老。 主要要求是你需要不断学习。 此外,如果你有一个伙伴分享想法,那么学习会更有趣。 以下是我成为安全黑客的方式。
提交有价值且易于理解的错误
质量而不是数量。 生产系统上的远程代码执行比自我XSS更有价值,即使它们都是安全问题。 享受寻找超级严重虫子的快感。 此外,成功的黑客花费大量时间尽可能清楚地描述问题。 达到目的,不要为公司引入不必要的(阅读)开销(额外的措辞也会降低您提交报告的公司的响应能力)。 最后,成功的猎人在开始寻找漏洞之前阅读了该计划政策。
赢得并表示尊重
通过提交有价值的错误来获得尊重。 尊重公司对赏金金额的决定。 如果您不同意他们决定授予的金额,请对您认为值得获得更高回报的原因进行合理的讨论。 避免在没有详细说明为什么你认为自己应得的更多的情况下要求获得其他奖励的情况。 作为回报,公司应尊重您的时间和价值。 他们通过授予赏金,响应和透明,让您参与讨论修复,并要求您测试已部署的修复程序来实现此目的。 沟通和合理得到回报:成功的错误赏金猎人获得大量的工作机会。
做你的作业
如果你对基础知识不满意,那就更舒服了。 我发现了解IP,TCP和HTTP等协议并参加一些(网络)编程课程真的很有帮助。
大多数bug赏金程序都专注于Web应用程序。 要成为网上成功的bug赏金猎人,我建议您查看以下资源:
阅读Web应用程序黑客手册;
看看HackerOne公开披露的漏洞;
查看Google Bughunter大学。