如何开始赏金漏洞？

什么是赏金漏洞？

赏金漏洞是一个由公司组织的计划，旨在为其网站和在线软件增加一层额外的网络安全。它是一个众包的渗透测试计划，奖励发现系统中的错误并提供解决错误方案的参与者。对于学生、研究人员或网络安全专家来说，这是一个测试其网络安全和领域特定技能的绝佳机会，如果他们发现任何安全漏洞，还将获得报酬。

组织这些众包计划的公司数量日益增多，因此漏洞发现者的机会也在增加。

除了传统的编程知识外，赏金漏洞猎人还需要具备额外的技能才能在该计划中表现出色。漏洞发现者有不同的类型。有些人擅长 Web 开发，而有些人则是网络安全专家。

因此，我们将讨论成为赏金漏洞猎人所需的步骤和技能：

1. 学习计算机网络

计算机网络是赏金漏洞开发者应该具备的首要且必要的技能。虽然不需要精通计算机网络，但所有基础知识都应清晰。开发者应对网络基础知识、OSI 模型（开放系统互连）、IP（互联网协议）地址、MAC（媒体访问控制）地址、TCP/IP 模型等有清晰的认识。要掌握计算机网络基础知识，您可以从许多优秀的网站上学习，例如 javatpoint.com。

2. 熟悉 Web 技术

赏金漏洞猎人应对 Web 开发基础知识有清晰的认识。他应对 HTML、CSS 和 JavaScript 有清晰的概念性理解，这足以开始他的开发生涯。我们还可以学习 Web 开发中使用的不同协议，如 HTTP（超文本传输协议）、FTP（文件传输协议）、SMTP（简单邮件传输协议）、TLS 等。

网上有各种资源和许多书籍可供学习 Web 技术。

3. 学习 Web 应用程序安全措施和黑客技术

这项技能包括基本的安全机制、系统软件中的常见错误和漏洞以及解决这些错误的各种方法。

有一些书籍可以学习这些技能

• Web Hacking 101
• Web Application Hacker's Handbook
• Mastering Modern Web Application Penetration Testing

4. 练习和打磨基本技能

如果我们反复练习现有的技能，每次都会做得更好。因此，在 Web 安全方面，如果我们尝试不同难度级别的各种目标，即使网站非常安全或已经被测试人员测试过，也能更容易地发现漏洞。

我们可以使用以下资源来提高我们的技能

易受攻击的 Web 应用程序

这些是故意设计有漏洞和错误的网络应用程序。这些应用程序有许多变体，基于不同类型的漏洞，以便开发者可以通过这些应用程序练习他们的技能。

这些应用程序的一些例子是

• OWASP Webgoat
• Cyclone Transfer
• BWapp
• DVWA（易受攻击的 Web 应用程序）
• Juice Shop
• SQLol
• Rails Goat
• Bricks
• Hacme
• Butterfly Security Project

在上述应用程序中，如果您是初学者，DVWA、BWapp 和 Webgoat 是最好的。

5. 实际测试目标

如果您遵循以上四个步骤，那么您已经具备了作为赏金漏洞猎人的充分技能和实践。现在，您可以通过在真实网站上实施您的技能来进行实际测试。有许多网站组织其赏金漏洞计划。其中一些如下

• Apple
• Spotify
• 星巴克
• Shopify
• Google
• Verizon
• Twitter
• Facebook

这些是支付高额奖励以发现其网站漏洞的顶级网站。然而，由于竞争激烈，以及世界顶尖开发者或赏金漏洞猎人也在研究同一问题，因此发现漏洞非常困难。

6. 了解最新的漏洞

通过这项技能，您可以关注著名的研究人员并分析他们在同一领域的工作。我们还可以阅读 HackerOne 等各种平台披露的报告。

您应该关注的一些研究人员是

• PortSwigger
• Geekboy
• Jason Haddix
• Jobert Abma
• Frans Rosen

如果您想成为一名赏金漏洞猎人，您的学术背景并不重要。唯一重要的是您的技能。