我觉得,应该在信息安全或漏洞挖掘之外,找到一个可以释放压力的方法或爱好。对我自己来说,漏洞挖掘是一个极度深入内心的爱好,每当我忽略了生活中的一些重要部分之后,我就发现自己并不开心。因为热爱过度,陷入太深,有时候我 觉得自己已经走火入魔了,如果能有一些东西能让我暂时脱离漏洞挖掘工作,即便是一种简单的爱好或者曾经的美好时光,我也愿意。
5 建议
计划一个切实可行的目标
我是从2016年1月开始我的“高效挖洞计划”的,在坚持了两个月左右的“一天一洞”节奏后,我遇到了第一个倦怠期。我犯的最大错误是没有完全理解漏洞发现过程的波动性,从黑盒测试的角度来看, 未被发现的漏洞 是不可量化的,而我自己也不能很好的判断发现漏洞的可能性。在120天的时间里,我曾三次到达了瓶颈期。我每天如果不能按计划发现一个漏洞,情况就会变得更糟;如果在10天之内,我还没有发现一个漏洞,就意味着我必须在一天之内找到10个漏洞。这个计划让我放弃的主要原因在于不断累积的压力。
我支持你 尝试这样的高效漏洞挖掘计划,只是不要和我犯同样的错误–“每天发现一个漏洞”。请你放轻松,制订一个切实可行的目标,而不是陷入恶性循环。
保持心态平和
当你在提交了漏洞之后,你就没有了真正的漏洞处置权。因为,对于漏洞奖励平台来说,这就是一个买方市场。如果一个项目没有达到你所期望的漏洞奖励,就不要参与这个项目。另外,请记住,没有什么神人愿意出高价来收买你的漏洞,或者让你成为黑客新闻头条,也没有什么所谓的“漏洞赏金猎人”联盟或黑市愿意为你的漏洞买单。基本原则是,我们只是付出有效脑力劳动去获取该得报酬的合同工而已,我们的委托公司客户可能是伟大牛逼的,也可能是极不友好的,这就是漏洞奖励平台和商业市场的本质。
如果在参与漏洞奖励项目中,你认为没有得到你该得的报酬,并且和你提交漏洞的公司有一些内部分歧。我建议你看看这两篇关于漏洞奖励的博文 《我是如何成为一个成功的漏洞赏金猎手》 、 《5年漏洞奖励平台记录和感想》 ,或许你可以从中得到一些新的观点和想法。
加入那些友好而热情的漏洞奖励项目
找到并加入那些对待漏洞研究者非常友好的项目,这些项目把漏洞研究人员当成他们自己安全团队的一部份。他们给你的回复很及时,报酬很慷慨,并且互相之间很尊重。
以上就是我对自己“高效漏洞挖掘”计划的一些观点, 很乐意和大家分享,也希望大家提出一些意见或建议。
6 值得关注的漏洞1:二级域名/网页劫持
根据漏洞奖励平台上的一部分漏洞为样本,我发现子域名接管或劫持漏洞的奖励范围比较大,可以从 $100 到 $7,500不等。这虽然不可思议,但可能是一些公司在漏洞严重程度上有着很大的不同对比。幸运的是,我曾在一个邀请的漏洞众测项目发现过子域名劫持漏洞,并且获得了高达$7,500的奖励。这个项目为大多数有效漏洞支付了高额的奖金,他们努力修复漏洞并给予子域名漏洞提交者慷慨的奖励。因此,在六个月之后,想找出其子域名劫持漏洞已经变得很难。这就是漏洞奖励平台的作用。
然而,作为一名安全研究者,当你不能找到一种方式来对 子域名进行 劫持时,你会怎么做?这就是二级子域名劫持该发挥作用的时候了。Web应用程序非常复杂,它可以加载10多个主机发起的应用和不计其数的请求内容。例如,我们可以在wufoo.com类型中嵌入框架或者在Amazon S3 中嵌入JavaScript。有更多关于动态内容通过网页嵌入第三方源的例子,我的大多数子域名劫持漏洞的成功发现都是与wufoo和S3形式相关。
( Wufoo 是一个网站应用程序。Wufoo主要帮助人们创建独特的在线表格。 在使用这个Wufoo应用程序设计表格的时候,它会自动生成数据库,后端和脚本,以便用户收集和轻松地理解数据。)
假想一下导致二级域名被劫持的情况:假如你在X公司工作,这家公司已经成立了10多年,并且最近开始了一项漏洞奖励项目。随着X公司各方面不断的发展壮大,在过去的10多年间,其相关网站的CMS系统也创建了大量网页。如果这家公司的网站曾经通过第三方URL的