无电脑也能成为漏洞猎人:我的实战经验分享
大家好,我叫Abdoul,是一名漏洞猎人、安全研究员,来自西非几内亚。在这篇文章中,我将向大家解释我如何在没电脑的情况下成为漏洞猎人,请原谅我的英语不够好。
游戏开始...
什么是漏洞猎人?
漏洞猎人就像是白帽黑客,他们发现漏洞并根据负责任披露政策向网站所有者报告。
什么是漏洞赏金计划?
漏洞赏金计划是由许多网站和软件开发者提供的交易,个人可以通过报告漏洞获得认可和补偿,特别是那些与漏洞利用相关的漏洞。
我如何在没有电脑的情况下开始漏洞挖掘?
我开始学习技术和漏洞挖掘时的困难是不懂英语。我通过在线学习基础英语开始,观看YouTube视频,使用安卓应用如Duolingo、Speaky等来学习和提高我的英语知识。
由于我的电脑因缺乏资金而损坏,我没有电脑,只能在手机上练习所学。我为朋友设置免费互联网,以便他们能借我电脑。我来自一个商人家庭,白天卖东西,晚上学习编程,白天卖东西,晚上学习黑客技术。
最困难的是我无法与兄弟、朋友、家人分享,因为他们认为技术只属于美国人、欧洲人、亚洲人,而不是几内亚的穷人。
我记得第一次听到"漏洞赏金"这个词时,我直接在Facebook的漏洞赏金论坛上提问:"我懂编程,我需要学习什么工具来进行漏洞赏金?"。一位很棒的人Shan Kar回复我:"学习基础的OWASP前十、Burp Suite等。"我直接在Facebook上给他发了消息。
那是我伟大的一天,再次感谢亲爱的Shan Kar。经过几天的学习,我成功入侵了几内亚第一家电信公司,报告后获得了五件T恤。
又有一天,我入侵了Ubagroup的在线聊天系统,但在非洲,当你入侵一家公司时,你什么也得不到,甚至连感谢都没有。我认为他们不知道安全的影响。
现在我只是每天入侵、吃饭、睡觉,重复这些事。
新手如何成为漏洞猎人或安全研究员?
有一些关于Web应用渗透测试方法和网络狩猎的书籍。通过这些你可以学习渗透测试和漏洞挖掘的基础知识和要点。由于漏洞赏金通常包括网站目标,我专注于让你开始Web黑客。
- Web应用黑客手册
- OWASP测试指南
- Web黑客101
对于像我这样没钱买书的人,你可以通过在Google上搜索找到PDF文件。
免费学习网站?
- Hacker101
- Bugcrowd大学
在哪里练习?
- ctf.hacker101
- Hacksplaining
- WebGoat
- OWASP Juice Shop
- HackEDU
当你有漏洞挖掘基础后,开始阅读技术文章。
在哪里阅读技术文章?
- Pentestland技术文章
- HackerOne黑客活动
- Awesome Bug Bounty技术文章
在YouTube上观看漏洞挖掘教程
- JackkTutorials
- Jhaddix的网站侦察方法
- 漏洞挖掘方法论
- Frans Rozen的《漏洞赏金猎人的秘密生活》
漏洞猎人使用什么工具?
浏览器如Firefox、Chrome、Safari、Internet Explorer
用于侦察:Shodan、Censys、Wappalyzer等
用于利用:
- Burp Suite
- SQLMap
- Nmap
你可以在这些地方找到很棒的工具:
- Bugcrowd论坛
- Bug Bounty论坛
漏洞猎人使用什么操作系统?
- Kali Linux
- Parrot等
在哪里找到很棒的有效载荷?
- XSS有效载荷
- PayloadsAllTheThings
- SQL注入有效载荷
- Google搜索语法
获得赏金的漏洞赏金平台?
- HackerOne
- Bugcrowd
- Synack
- Bounty Factory
- ...
游戏结束
在Twitter上关注我,分享和鼓掌
非常感谢阅读我的文章,希望你喜欢它。
