官网:http://securitytech.cc/
我是如何在漏洞赏金中赢得 1100 美元,这改变了我在玻利维亚的生活
尽管由于国内经济形势和通货膨胀,现在可能价值更低)后,我开始对漏洞赏金充满热情,认真投入。这次经历激励我加入不同的漏洞赏金计划,以便实验、学习,并看看自己能走多远,最终以此为生。
我要明确一点:我不是网络安全“大专家”。正如我在上一篇文章提到的,我在 COVID-19 开始时只是作为兴趣开始的。但从那以后,我一直在持续学习和实践。我能说的关于赚到的 1100 美元的是:坚持是关键。
有些日子,我参与了不同的漏洞赏金计划,却一个漏洞也没发现。我感到沮丧、生气,甚至因为个人情况而抑郁。我也为自己不能全职投入漏洞赏金而感到羞愧,因为我还在上大学。
但正如我所说:生活中,坚持就是一切。 你可能会感到孤独,可能会因为压力而几天几乎不吃东西——但如果你有目标,你就必须愿意冒险。现在我可以说:我冒了险,并且实现了比我梦想中更多的成就。
下面让我讲讲这 1100 美元是如何改变我生活的。
一切始于今年年初。我当时非常抑郁——部分原因是无法释怀前任,部分原因是城市里的一切都让我想起她,以至于我甚至不敢出去呼吸新鲜空气。大多数时间我都待在办公桌前编程和“黑客”,这成了我的一种疗法。
我开始寻找漏洞,不仅是通过我在一家网络安全审计公司的工作,还因为黑客和发现漏洞能让我从失去祖父和分手后的持续痛苦中分散注意力。今年也是我大学的最后一年,我还需要完成实习和毕业论文以拿到计算机系统工程学位。黑客活动既让我分心,也让我赚一些零花钱。
起初,我以为这很容易——我在玻利维亚的系统中已经报告过 CVE 漏洞——但很快我意识到事情远非如此。大型公司的系统比我在本地看到的要先进得多;基于老版本的漏洞已经很少。我需要把技能推到极限并学习新东西,如果想赚到哪怕 100 美元。因此,我测试了运气,并在 HackerOne 上的一家视频游戏公司报告了一个 XSS(跨站脚本漏洞)。遗憾的是,他们将其归类为信息性漏洞,但我没有放弃。
于是我专注于行业中不太知名的两个方向。第一个是 拉美初创公司和小型金融科技公司,因为根据行业要求,很多公司需要漏洞赏金计划或至少进行渗透测试。第二个方向是 拥有移动应用的初创公司,因为他们常常忽略移动安全中的敏感问题——如暴露的 API key、开放的云存储桶、密钥和令牌。
我于是试试运气。我列出了手机上已经安装的移动应用,并使用 ADB(Android 调试桥) 提取它们。然后我用 jadx-gui 反编译这些应用,这个工具帮我很大忙,让我理解了移动应用的逆向工程。
由于我已有 Kotlin 和 Dart 编程经验,理解代码结构对我来说相对容易——更重要的是,像 硬编码 API key 或放在 /res/values/strings.xml 里的不良做法非常普遍。
于是,我就开始了。
一开始,我反编译的第一款应用中发现了一个 API key,可以访问 Firebase 数据库——这是一个明显的敏感问题,因为它硬编码在 BuildConfig.kt 类中。发现后,我报告了漏洞,但没有止步:我继续寻找,发现了其他问题,例如 app.config 中的 GitHub 令牌。
我不能展示文件或公司名字,因为我与三家报告了问题的公司签署了保密协议。但我可以分享我收到的付款,以及描述我发现的漏洞和公司回应——这对我成为道德黑客和漏洞猎人的道路帮助很大。
报告了暴露的 key 后,公司验证了我的报告。其中一家很快支付了我 800 美元(Tether/USDT)。
按回车或点击查看图片原尺寸
800 美元对我来说很多,因为这是我在网络安全领域赚到的最多的钱——但我没有停止。另一款应用中,我再次寻找令牌或秘密,找到了一个 Notion 令牌和几个对金融科技公司工作流至关重要的 API key。虽然他们的安全要求严格,但仍然忽略了这些小细节。
如果我能给刚入门漏洞赏金的人一个建议,那就是:注意小细节。即便是看似“愚蠢”的问题,如硬编码 API key、错误配置的 BuildConfig 或开放的云存储桶,都可能是严重漏洞。归根结底,我们都是人,而人的错误可能被网络犯罪分子利用。我为自己报告这些问题并帮助保护公司系统而感到自豪。
报告这些漏洞后,这家公司支付了我 300 USDC。对我来说,这是当时的重大成就,也帮助我重建自信,克服抑郁,并意识到只要专注于目标,我就能实现。
按回车或点击查看图片原尺寸
按回车或点击查看图片原尺寸
按回车或点击查看图片原尺寸
9 月份,我赚了 14,562 玻利维亚诺(本国货币),并投资于网络安全书籍和股票——抑郁感一度缓解。我仍然难以走出户外、停止关注个人问题,但黑客行为帮我前进,同时赚到钱。这笔钱帮助了我在旅行、提升技能以及满足其他需求方面。
完成这些公司的漏洞报告后,我收到了三次闭门漏洞赏金计划的邀请,并获得了第一家公司提供的工作机会。目前我正完成该职位的交接,并为审计工作收取 2,000 USDT,未来有机会转为正式岗位。这对我意义重大:我喜欢金融科技公司的工作流程、团队氛围,以及它是一家拉美公司。
我可以坦诚地说,黑客拯救了我的生活。应对生活中发生的一切,并做一些积极的事情,比其他方式更有帮助。我仍然为祖父去世和分手感到痛苦,但漏洞赏金让我意识到自己比想象中更有能力。我不会停止,直到能靠此谋生,并成为国内顶尖的漏洞猎人。
