Если не туда закинул, переместите
ОРИГИНАЛЬНАЯ СТАТЬЯ
ПЕРЕВЕДЕНО СПЕЦИАЛЬНО ДЛЯ xss.pro
$600 на SSD для Jolah Milovski ---> 0x5B1f2Ac9cF5616D9d7F1819d1519912e85eb5C09 для поднятия ноды ETHEREUM и тестов
Итак, вы хотите получить вознаграждение за ошибки?
Я занимаюсь вознаграждением за обнаружение ошибок уже более 10 лет, и со временем я стал больше любить тот эффект, который они оказали на мою жизнь. От перспектив трудоустройства до возможности финансово поддерживать окружающих и себя. Я считаю, что если вы увлечены информационной безопасностью и гордитесь своей работой, вы также можете добиться успеха в вознаграждении за обнаружение ошибок, и, надеюсь, это вызовет волну позитива в вашей карьере и жизни.
Я пишу этот пост в блоге, потому что искренне верю, что тяжелая работа и стремление к обучению приведут вас к успеху в вознаграждении за обнаружение ошибок. Кроме того, я бесконечно благодарен за количество бесплатных ресурсов, на которые я полагался, чтобы обучиться навыкам, позволяющим хорошо выполнять вознаграждение за обнаружение ошибок. Я надеюсь, что этот пост в блоге объясняет многие знания, которые я получил за последние десять лет.
- 1. Что это за руководство и почему я должен вас слушать?
- 2. Основы
- 3. Я xyz, могу ли я делать награды за ошибки?
- 4. Образ мышления
- 5. Постоянное и последовательное обучение
- 6. Дальнейшая специализация
- 7. Скромность, справедливость и сотрудничество
- 8. Суровые реалии
- 9. Фокус на компании
- 10. Как избежать выгорания
- 11. Живые хакерские мероприятия
- 12. Отдача
- 13. Заключение
Что это за руководство и почему я должен вас слушать?
Это руководство не обязательно даст вам план того, что именно вам нужно изучить и когда. Я хочу, чтобы это руководство было реалистичным пониманием того, что значит быть охотником за ошибками и что для этого нужно, чтобы добиться успеха. Учебный путь, который сделает вас успешным в Bug Bounty, может быть разным для всех.
Есть много вещей, которые я разработал, чтобы стать успешным охотником за ошибками, и я хотел поделиться ими с более широким сообществом. Некоторые из этих вещей могут показаться очевидными для опытных охотников за жуками, но это руководство действительно для тех, кому нравится идея быть охотником за жуками, но они могут не понимать, что это значит и как добиться успеха.
Тем , кто ищет структурированное обучение, рекомендую заглянуть в PentesterLab и Web Security Academy . Самое главное, я рекомендую вам потратить как можно больше времени на взлом, потому что это время не будет потрачено впустую, даже если вы не найдете никаких действительных проблем. Каждая неудача — это опыт. В конечном итоге вы обнаружите уязвимости в системе безопасности.
Что касается того, почему вы должны слушать меня, как я уже упоминал ранее, я занимаюсь поиском ошибок уже чуть более десяти лет. Моя первая ошибка, за которую мне заплатили, была уязвимость SSRF в PayPal. В то время не существовало ни платформ баг-баунти, ни реального сообщества. В то время я работал в ресторане быстрого питания за 6,50 долларов в час. Первая выплата по ошибке, которую я получил, была больше, чем я заработал за восемь месяцев работы. Это изменило мою жизнь, и я думаю, что оно способно изменить и жизнь других людей.
Я занимаю первое место в Австралии (последние два года) на HackerOne и около 30 -го места в мире на HackerOne (таблица лидеров за все время). На протяжении многих лет я занимался поиском ошибок в качестве хобби в свободное время, но также проводил некоторое время, занимаясь этим на полную ставку.
Основы
На мой взгляд, чтобы преуспеть в вознаграждении за ошибки, вам не нужно быть отличным программистом или знать, как все работает на самом детальном уровне. Это, конечно, может быть преимуществом, если у вас есть эти знания, но я не считаю, что вам нужно потратить годы на обучение, прежде чем вы сможете промочить ноги в наградах за ошибки.
Правда в том, что большинство охотников за ошибками взаимодействуют с таким количеством ресурсов и технологий, что почти невозможно понять тонкости каждой из них до того, как вы начнете охоту. Хорошая новость заключается в том, что если вы любопытны и открыты для обучения, вы можете наращивать свои знания и навыки, выискивая уязвимости.
Я призываю вас научиться строить, а не просто ломать вещи. Это может быть важным преимуществом вознаграждений за обнаружение ошибок, поскольку потенциально позволяет вам лучше понять, как устроены системы, чтобы вы могли сформулировать атаки для их взлома. Но я знаю многих хакеров, которые никогда не писали ни строчки кода и являются одними из лучших хакеров в нашей отрасли и в нашем сообществе. Следовательно, для некоторых людей в этом нет необходимости.
Наличие опыта в инженерии иногда может быть обоюдоострым мечом, поскольку вы можете делать предположения или иметь когнитивные предубеждения относительно того, как что-то работает, что мешает вам тестировать определенные вещи в некоторых сценариях. Если вы инженер или имеете инженерное образование и читаете это, я призываю вас всегда подвергать сомнению свои предположения, участвуя в вознаграждении за обнаружение ошибок.
Я xyz, могу ли я делать награды за ошибки?
Самое лучшее в наградах за ошибки — это то, что они доступны для всех. Будь вы подающий надежды инженер, который ищет хобби, или подросток, который интересуется наступательной безопасностью.
Если вы читаете это и являетесь пентестером, который работал над безопасностью веб-приложений, позвольте мне сказать вам, что ваши навыки безопасности приложений, которые вы применяли в своей повседневной работе, чрезвычайно важны для вознаграждения за обнаружение ошибок. Награды за обнаружение ошибок могут показаться вам пугающими, потому что часто есть на что посмотреть, но навык разведки такой же, как и любой другой навык, который вы можете отточить. Вознаграждение за обнаружение ошибок может не только принести дополнительные деньги, но и, безусловно, поможет вам лучше выполнять свою работу.
Если вы читаете это и являетесь инженером, который раньше создавал веб-приложения, хорошая новость заключается в том, что вы понимаете многие базовые знания, необходимые для погружения. навыков и концепций, но для большинства инженеров это довольно весело и интересно изучать. Выполнение вознаграждений за ошибки и изучение безопасности приложений определенно сделают вас лучшим инженером (выпуская код с меньшим количеством проблем с безопасностью), и вы также можете получить удовольствие от поиска ошибок.
И, наконец, если вы читаете это и у вас нет большого опыта в инженерии или безопасности, но вам действительно нравится идея вознаграждения за обнаружение ошибок, все, что я могу сказать, это то, что самый важный навык, которым вы можете обладать в вознаграждении за обнаружение ошибок, — это ваше мышление, которое если вы будете работать дальше, вы также добьетесь успеха. В этом сообщении в блоге позже обсуждается, как выглядит это мышление. Может потребоваться много предварительных знаний, которые вам понадобятся, чтобы найти свою первую ошибку, но если вы настойчивы и готовы учиться, это не является чем-то недосягаемым. Дорога к успеху вымощена неудачами.
Настроение
Уязвимости есть везде. Это может быть удручающе осознавать, но это важный момент. В обществе компании постоянно рекламируют, насколько превосходна их безопасность. Это создает у большинства людей представление о том, что эти компании на самом деле безопасны, даже если это не так.
Если кто-то подошел к вам и спросил, можете ли вы найти уязвимость в системе безопасности Facebook или Google, ваша рефлекторная реакция может состоять в том, чтобы объяснить, насколько это сложно, учитывая, сколько денег эти компании тратят на безопасность и сколько сотрудников они обеспечить безопасность своих приложений.
Как охотник за ошибками, вы не можете иметь такой менталитет. Это чрезвычайно запретительно, и когда вы обнаружите проблемы с безопасностью в крупнейших корпорациях мира, вы скоро поймете, что можно найти уязвимости в чем угодно (при наличии достаточного времени и ресурсов).
Вы можете обнаружить, что в некоторых компаниях сложнее найти уязвимости (сколько времени требуется, чтобы найти проблемы с безопасностью), и вы можете сдаться, прежде чем что-то найдете, но вы должны понимать, что есть еще уязвимости, которые еще предстоит найти для любая поверхность атаки.
Еще одно качество, которое, как я обнаружил, приводит к постоянным результатам, — это настойчивость. Настойчивость в поиске и использовании уязвимостей почти всегда приводит к успеху. Вы можете думать об успехе как об обнаружении действительных уязвимостей, но, скорее, важно понимать, что даже если вы не найдете уязвимости, но потратите много времени на изучение цели, технологии или некоторого кода, эта настойчивость сделает вас лучше. хакер в долгосрочной перспективе со знаниями, которые вы подбираете. В Bug bounty вам должно быть удобно тратить много времени, ничего не находя, и искренне наслаждаться путешествием, а не только пунктом назначения.
Постоянное и последовательное обучение
Одна из сложных вещей, связанных с наградами за ошибки и безопасностью приложений в более широком смысле, заключается в том, чтобы не отставать от всех новых опубликованных исследований. Когда я впервые начал изучать безопасность приложений, я обнаружил, что неукоснительно читаю каждый /r/netsec опубликованный пост . Я включил push-уведомления для этого сабреддита и читал каждый пост в этом сабреддите.
Однако это не просто /r/netsec. За последние пять лет я обнаружил, что Twitter стал невероятным источником информации, когда речь идет о безопасности приложений и наградах за ошибки. Существует обширное сообщество увлеченных хакеров, которые публикуют свои исследования и работы, потому что хотят развивать эту отрасль дальше.
Подходя к чему-то вроде Твиттера в качестве источника обучения, я настоятельно рекомендую использовать кураторский подход и помнить о людях, за которыми вы следите, чтобы ваша лента всегда была наполнена соответствующими исследованиями, методами или контентом. Если вы хотите взглянуть на некоторых людей, на которых я подписан в Твиттере, вы можете увидеть это здесь .
Помимо письменного контента, в наши дни также есть отличные создатели контента, которые очень усердно работают, чтобы помочь вам в этом путешествии, такие как Nahamsec , Stok , JHaddix , Codingo , Pwnfunction , Farah Hawa и BugBountyReportsExplained . Их видео часто вдохновляют и могут вдохновить вас на получение навыков, которые вам понадобятся, чтобы добиться успеха в наградах за обнаружение ошибок.
Другим замечательным ресурсом является лента активности HackerOne, которая содержит список всех публично раскрытых уязвимостей. Я настоятельно рекомендую вам не торопиться, чтобы следить за этим ( что возможно с помощью этого бота в Твиттере ) и читать эти раскрытия информации как можно чаще по мере их появления. Я очень благодарен хакерам, которые публиковали свои отчеты на протяжении многих лет, поскольку я часто находил интересные новые методы или идеи, которые мог бы применить.
Я не могу недооценить, насколько важно постоянно учиться в качестве охотника за ошибками и бросать вызов себе, чтобы изучать концепции других хакеров, которые пишут, которые вы не сразу понимаете. Ничего страшного, если вы сначала чего-то не понимаете, и я, конечно же, не понял всего, что читал за эти годы, и я часто ловлю себя на том, что читаю сообщения в блогах по несколько раз, чтобы понять их как можно лучше.
Специальности
После того, как вы научитесь находить проблемы безопасности приложений в различных областях атак, вы можете обнаружить, что склонны находить определенные типы проблем или сосредотачиваться на определенных областях, которые привели вас к наградам за ошибки. Если это не так, то все в порядке! Есть много областей, в которых вы можете специализироваться, как только вы обретете некоторую уверенность и, надеюсь, заработаете немного денег с помощью вознаграждений за ошибки.
Мой вам совет: специализируйтесь (т.е. станьте мастером) в том, что вам больше всего нравится в наградах за обнаружение ошибок, и имейте открытый, всегда любопытный и обучающийся ум, чтобы вы всегда сталкивались с новыми вещами и понимали, какие навыки тестирования безопасности вам нужны. наслаждайтесь работой.
В своей карьере по поиску ошибок я решил специализироваться на взломе серверов IIS (с приложениями, написанными на .NET/C#), аудите исходного кода (почти на любом языке) и разведке. На разработку этих специальностей ушло очень много времени, но каждый раз, когда я углублялся в них, это было потому, что я был действительно взволнован, чтобы узнать больше и стать лучшим, на что я был способен. Попутно я написал много постов в блоге и снял несколько видеороликов о некоторых из этих специальностей.
Вам может быть интересно, что нужно, чтобы по-настоящему специализироваться в какой-либо конкретной области безопасности приложений. Мой ответ на это заключается в том, что это требует много изучения и времени, потраченного на практику того, что вы изучили. С помощью вознаграждений за ошибки можно практиковаться в различных программах вознаграждения за ошибки. Есть компании, которые проводят вознаграждения за ошибки, которые охватывают широкий спектр технологий и платформ, необходимых для того, чтобы стать идеальным полем битвы, чтобы развить свои навыки до уровня мастерства.
Например, мои навыки взлома веб-серверов IIS в основном были получены благодаря взлому программ вознаграждения за обнаружение ошибок, которые активно используют эту технологию. Точно так же мои навыки аудита исходного кода были развиты путем аудита приложений поставщиков, для которых я получал исходный код, когда замечал их на поверхностях атаки.
Скромность, справедливость и сотрудничество
Если вы думаете, что лучшие охотники за ошибками охотятся за ошибками только из-за денег, вы ошибаетесь. За последние десять лет все великие хакеры, с которыми я работал в сфере Bug Bounty, взламывают, потому что любят взламывать. Не поймите меня неправильно, они также делают это из-за денег (очевидно), но вы можете сказать, что у них есть глубокая страсть и желание ломать вещи в первую очередь.
Если вы добились большого успеха в наградах за ошибки и в конечном итоге заработали много денег, я рекомендую вам серьезно подумать о том, кого вы хотите запомнить в сообществе, и как вы можете отплатить сообществу. Скромность более сильна в долгосрочной перспективе и позволит вам строить конструктивные отношения с другими людьми в обществе.
Вашу скромность оценят не только коллеги-хакеры, но и люди вокруг вас, которым, возможно, не так повезло заработать столько же денег, как вам, на наградах за обнаружение ошибок. Я упоминаю об этом из-за личного путешествия, которое я прошел сам, понимая, что сумма денег, которую вы зарабатываете, не имеет хорошего значения для определения вашей личности.
Был момент, когда я рассказывал всем о найденных ошибках и выплатах, которые я получил из-за собственного волнения. В конце концов я обнаружил, что говорить об этом не всегда уместно в зависимости от группы людей, с которыми я буду говорить.
Что касается справедливости в наградах за ошибки, я предлагаю вам быть невероятно искренними с теми, кого вы выбираете для сотрудничества с такими вещами, как разделение процентов. Честно говоря, если вы тот, кто в конечном итоге пересекает другого человека в пространстве вознаграждения за обнаружение ошибок, когда дело доходит до сотрудничества, молва распространяется быстро, и люди откажутся работать с вами.
К сожалению, за 10 лет моей работы по поиску ошибок, хотя большинство совместных проектов заканчиваются мирно и успешно, было несколько сценариев, когда я действительно сожалел о работе с кем-то. Эти люди у меня в черном списке, и я никогда больше не собираюсь с ними работать, сколько бы денег ни было на кону.
Вы можете прочитать немного о неприглядной стороне сотрудничества здесь. -- хотя я скажу, что 90+% усилий по сотрудничеству были успешными для меня. Как только вы построите доверительные отношения, сотрудничая с другим человеком, вы можете без особых усилий доверить ему будущее сотрудничество.
Когда дело доходит до совместной работы, очень важно понять, как выглядит совместная работа, прежде чем пытаться найти людей для совместной работы. Успешное сотрудничество включает в себя реальную суть (потенциальные проблемы безопасности, открытия, требующие дополнительной работы, проблемы, с которыми вы справились, но застряли, первоначальная точка доступа с целью дальнейшего использования, твердая догадка о том, насколько что-то может быть уязвимым), прежде чем вы пойдете другой стороне и попросить их о помощи.
Лучшие охотники за ошибками знают о лучших хакерах и их особенностях, а также о том, когда к ним можно обратиться для сотрудничества. Со временем вы построите отношения с людьми, с которыми вам будет очень комфортно работать благодаря элементам справедливости и мастерства.
В сфере вознаграждения за обнаружение ошибок есть несколько человек, которые, как правило, просят много помощи для конкретных целей / приложений, которые они проверяют, на самом деле не желая сотрудничать с вами или делить какие-либо выплаты, или несправедливы при сотрудничестве. Вы должны помнить об этом, потому что, если вы решите помочь, вы обычно занимаетесь благотворительностью, и человек, просящий о помощи, будет считать свои успехи своими собственными, независимо от того, насколько вы ему помогли.
Суровые реалии
Если вы новичок в программе Bug Bounty и отправили свои первые несколько ошибок, вам может быть интересно, почему программа Bug Bounty так чертовски долго отвечает вам. Именно здесь полезно признать реальность вознаграждений за ошибки и принять эти реалии, чтобы у вас было лучшее психическое здоровье в вашем путешествии по наградам за ошибки.
Программы Bug Bounty завалены сообщениями. Большинство из них недействительны. Команды сортировки помогают справиться с этим беспорядком, но даже в этом случае многим командам безопасности по-прежнему требуется много времени для обработки ваших уязвимостей. Установка исправления для уязвимостей, о которых вы сообщаете, может занять месяцы. Это означает, что может пройти несколько месяцев, прежде чем ваша ошибка будет устранена и в конечном итоге оплачена.
Просьба о постоянных обновлениях просто не ускоряет этот процесс. Когда вы сообщаете об ошибках в программы вознаграждения за ошибки, я настоятельно рекомендую вам забыть об отправке и немедленно начать находить больше ошибок, о которых вы можете сообщить.
Когда ошибка будет оплачена (сколько бы времени это ни заняло), наслаждайтесь приливом эндорфинов и выбросом дофамина. Вместо того чтобы связывать центр вознаграждения в своем мозгу с выплатами, свяжите его с обнаружением уязвимостей. Вот как вы можете по-настоящему насладиться жизненным циклом Bug Bounty.
Некоторые компании лучше, чем другие, когда дело доходит до поощрения ошибок в разумные сроки. Это может сделать взлом этих программ более приятным. Лично мне нравится взламывать программу Uber HackerOne из-за того, как быстро они устраняют уязвимости и платят за них.
Еще одна суровая реальность, к которой вы должны быть готовы, заключается в том, что программы могут не видеть риск так же, как вы, когда вы обнаруживаете уязвимость и сообщаете о ней. Есть место для обсуждения, но решение о критичности и, в конечном счете, о выплате остается за владельцами программы. Вы должны принять это, и иногда это может быть действительно хреново, но обычно вы мало что можете сделать как охотник за ошибками.
Мое отношение к программам, несправедливо относящимся к хакерам, состоит в том, чтобы позволить другим членам сообщества узнать о вашем опыте и отказаться работать над ними снова. У меня есть дерьмовый список программ, с которыми я отказываюсь работать.
Сосредоточение внимания на компании
Я предлагаю тем, кто занимается поиском ошибок, найти конкретную программу, на которой вы хотите сосредоточиться, и стать мастером в понимании активов на поверхности атаки этой программы, а также технологий и процессов, которые эта программа может использовать.
На протяжении многих лет у меня было много программ вознаграждения за обнаружение ошибок, в которых я потратил время, чтобы невероятно познакомиться с их способом разработки и развертывания вещей в Интернете. Эти знания имеют решающее значение для обнаружения уязвимостей на постоянной и последовательной основе.
Стать экспертом в жизненном цикле разработки и практиках компании с точки зрения «черного ящика» намного сложнее, чем кажется, поскольку иногда требуется более 40 часов анализа активов, принадлежащих этим компаниям, технологий и шаблонов, постоянного мониторинга их для создания картина поверхности их атаки в вашем уме.
Тем не менее, это принесет огромные дивиденды. Независимо от того, являются ли эти дивиденды немедленными или с течением времени, в любом случае вы обнаружите, что изучение конкретной компании и ее методов почти всегда является блестящим планом, когда дело доходит до поиска уязвимостей в них.
Как избежать выгорания
Если вы все же решите получить вознаграждение за обнаружение ошибок и хотите понять реалистичные рабочие нагрузки, необходимые для достижения успеха, я рекомендую вам прочитать мои предыдущие сообщения в блоге « Высокочастотная охота за ошибками безопасности: 120 дней, 120 ошибок и взлом вознаграждений за обнаружение ошибок в течение четырех лет» .
На протяжении многих лет я участвовал в баг-баунти в свободное время, а также около года полный рабочий день. В обоих сценариях необходимо было использовать разные стратегии, чтобы избежать выгорания.
Мне не всегда удавалось избежать выгорания, но со временем я начал понимать, что приводит к выгоранию и как его вообще избежать. Я также стал уважать то, что мой мозг и тело хотят делать в любой момент времени. Если ответ не в вознаграждении за взлом/ошибку, вам лучше поверить, что я не буду заставлять себя делать то, чего я на самом деле не хочу делать.
В эти дни я следую схеме, когда я хакаю в течение нескольких недель с умеренной интенсивностью (6-10 часов в день, 5-7 дней в неделю), а затем делаю перерыв на месяц, пока не почувствую, что хочу заниматься. снова вознаграждения за ошибки, или если меня что-то заинтересует.
Если вы начинаете чувствовать, что выгораете, худшее, что можно сделать, — это попытаться заставить себя работать усерднее и дольше. Когда вы испытываете выгорание, прекратите делать то, что вы делаете, и потратьте некоторое время на декомпрессию. Для меня это обычно включает в себя лежание и прослушивание моей любимой музыки или просмотр телепередач. Важно дать вашему мозгу реальную возможность отдохнуть и перезагрузиться. Уважение к своему мозгу и телу приведет к долгосрочному успеху.
Живые хакерские события
В наши дни почти все платформы по поиску ошибок проводят Live Hacking Events. У них есть критерии отбора, по которым они решают, каких хакеров пригласить. Вы можете прочитать о критериях отбора HackerOne здесь: https://www.hackerone.com/community-blog/live-hacking-event-invitations-2022-guide .
Эти живые хакерские события просто фантастические. Они дают вам возможность связаться с самыми опытными хакерами в мире, и в то же время вы можете заработать приличную сумму денег на выплатах на этих мероприятиях.
Мой совет всем охотникам за ошибками, которых приглашают на живые хакерские мероприятия, — тратить много времени на подготовку, как только будут объявлены цели, и проявлять настойчивость и усердие в тестировании. Мозговой штурм векторов эксплуатации, которые могут повлиять на вашу цель, и реализация этих идей до самого конца, прежде чем переходить к новым идеям.
Хакерские мероприятия в реальном времени часто связаны с жесткой конкуренцией и давлением, но помните, что в конечном итоге цель состоит в том, чтобы защитить компанию, которую вы коллективно атакуете, по одной уязвимости в системе безопасности за раз.
Сотрудничество широко распространено на живых хакерских мероприятиях (в хорошем смысле), и вы не должны бояться делиться всем, над чем вы работали, с другими людьми на живых хакерских мероприятиях (при условии, что вы открыты для получения помощи в форме сотрудничества). Это часто приводит к сценариям, когда другие хакеры на этих мероприятиях помогают вам завершать цепочки эксплойтов.
Bugcrowd, Intigriti, Yogosha и YesWeHack также проводят живые хакерские мероприятия. Будучи хорошим охотником за ошибками на любой из этих платформ, вы можете значительно увеличить свои шансы на приглашение на эти живые хакерские мероприятия.
Отдавать обратно
Если вы в конечном итоге добьетесь успеха в вознаграждении за ошибки, мое самое большое желание и желание состоит в том, чтобы вы решили отплатить сообществу. Будь то посты в блогах, твиты, видеоролики или подкасты, то, что делает всех коллективно лучшими хакерами, — это прогресс нашей отрасли и искусства благодаря предоставленному контенту.
На протяжении многих лет я прилагал сознательные усилия для написания сообщений в блогах и создания видеороликов, чтобы отблагодарить сообщество баг-баунти. Мне всегда приятно видеть, как новые люди входят в наше пространство и отдают долг сообществу.
Я надеюсь, что конкуренция в этой отрасли не помешает вам делиться информацией. Хотя это правда, что мы находимся в конкурентной среде с наградами за ошибки, обмен информацией гораздо важнее денег, и вы поймете это, как только увидите возможности, которые он создает для вас с точки зрения карьеры, а также с точки зрения сотрудничества.
Многие возможности, которые мне были предоставлены в моей жизни, стали возможными только благодаря непредубежденному характеру, с которым я произвожу и распространяю знания среди людей. Я благодарен за это и верю, что это будет относиться и к другим, если они проявят такой же уровень прозрачности и смелости в обмене знаниями.
Я почти уверен, что у большинства успешных людей в сфере баг-баунти есть история о том, как они прочитали рецензию или запись в блоге, которая сделала их лучшими хакерами/тестировщиками безопасности. Нам нужно, чтобы эта культура сохранялась в нашей отрасли, даже несмотря на то, что награды за ошибки по своей сути являются конкурентоспособными.
Вывод
Я надеюсь, что этот пост в блоге даст вам представление о том, что значит быть охотником за ошибками, и что это может повлечь за собой или потребовать. Как я уже упоминал в начале этого сообщения в блоге, этот блог не столько о технических элементах успешного охотника за ошибками, сколько о социальных навыках и менталитете, которые вам понадобятся для достижения успеха.
В этом сообщении блога обсуждаются некоторые проблемы, с которыми я столкнулся на этом пути, и то, как я с ними справлялся. Большинство охотников за ошибками, которых я знаю, вероятно, прочитают этот пост в блоге и согласятся с большинством выводов, поскольку они оказались бы в похожем положении.
Весь смысл этого сообщения в блоге состоял в том, чтобы дать людям информацию о том, что влечет за собой быть охотником за ошибками, и дать этот совет, не заставляя вас совершать те же ошибки, что и мы все на этом пути.
То что там rce на центральном сервере - их не ебало ...
