白帽故事 · 2021年9月27日 0

国外一位白帽子2年来总结的10条经验

背景介绍:

这位白帽子在HackerOne上的ID名为“Ahmad Halabi”,最近他将2年来的挖洞经验做了整理总结。

计划制定:

首先来看看这位白帽小哥2年来的计划:

  • 2019年6月到2020年6月:主要是在VDP (无奖励计划)的项目上学习和练习,因为这些目标更容易学习和发现漏洞,而且他本人更喜欢攻击真实的目标,而不是虚拟的CTF比赛
  • 2020年6月至2021年6月:这段时间主要专注于VRP(奖励计划)的项目,几乎很少再碰VDP,保持学习,因为一旦停止学习,就永远不会达到令自己满意的程度

成就一览:

看看经过2年来的努力,这位白帽小哥所获的成就:

  • 获得全球200多家公司的认可,并获得了奖金/答谢证书/名人堂/奖品/徽章

  • 2019年美国国防部黑客第一名

  • 2020年IBM黑客第一名

  • 2020年美国国防部排名第三的黑客

  • 2020年HackerOne排行榜黑客第七名

  • 美国国防工业基地黑客第一名

  • 在HackerOne上被评为全球前50名黑客

  • 在HackerOne上获得12700以上的声望(仍在增长中)

  • HackerOne在黎巴嫩(白帽小哥所在的国家)排名第一的黑客

经验&建议:

1、如果你没有足够的经验和知识,不要把“挖漏洞”当作一份全职工作,因为很快你就会“捉襟见肘”,最好可以做份兼职工作来增加额外的收入

2、永远不要停止学习,因为每天都会有新的漏洞出现,新的保护措施也在实施,所以如果你想继续找到漏洞,就必须保证自己不断学习

3、阅读文章非常重要,对于你阅读的每一篇文章,你都会学到新的知识,通过不断扩大你的知识面,你就有了更多接近目标的方法

4、自动化不一定能帮你找到漏洞,但它们会帮你在找到漏洞上大大提升效率,在不了解其背后原因的情况下盲目自动化是成效甚微的,即使你使用自动化并发现了漏洞。白帽小哥一般在收集、侦测阶段使用自动化,而不是在挖掘漏洞时使用自动化,当然有时可以倒是可以通过自动化脚本发现一些信息泄漏

5、不要以赏金为基础来评判漏洞结果,因为有时在Google中发现的相同漏洞可能比在一个小程序中发现的相同漏洞获得的赏金支付更多

6、写一份清晰明了的漏洞报告会受到高度赞赏,有时不一定要写一份很长的漏洞报告,但至少要清楚的解释漏洞和复现步骤,另外不要忘记提及修复措施,因为这更能说明你对漏洞的了解程度以及知道如何修复它

7、有时不要纠结于一个目标,做你认为适合自己的事情,如果您发现自己在目标上发现了一个不错的漏洞,请坚持一段时间并继续挖掘,相信你一定会发现更多漏洞。另一方面,如果连续几天都找不到任何漏洞,建议更换目标并适当休息一下

8、不要太过依赖他人的方法去寻找漏洞,你可以学习它们的方法,但在漏洞挖掘时,你应当建立属于自己的方法和思维方式

9、在挖掘漏洞时,最好列一个清单并做好记录。这真的很有帮助,有时会错过检查一些额外错误信息,但当我翻看清单记录时,可以清楚的知道还有哪些事情没有做,以便再次去检查目标

10、不要因找不到漏洞而感到失望和沮丧,但没关系,这证明在这个领域的漏洞挖掘可能已经被大量的白帽子尝试过了,即便有很多撞洞也没关系。为了找到属于你的独特漏洞,你必须拥有与众不同的思维和与众不同的行为