如何选择优质漏洞赏金项目并赚取丰厚奖金
如何选择优质漏洞赏金项目并赚取丰厚奖金
"如何选择漏洞赏金项目?"过去几周我多次被问到这个问题,因此决定撰写这篇博客文章。请注意,我接触漏洞赏金项目的时间并不长,所以请辩证看待这些建议。你可以在我的 Twitter/X 上关注我的漏洞赏金之旅:3NVZ (@YourFinalSin) / X。以下仅是我个人选择项目的方法。好了,闲话少说,让我们开始吧。
1. 平衡之道
最初在 VDP(漏洞披露计划)上狩猎时,我总认为要找没有活跃黑客的项目才能发现漏洞。于是我用 Google 搜索自托管的 VDP 项目开始狩猎。一个简单的 Google 搜索语法是:intitle: VDP | vulnerability disclosure program
看到 Hackerone Hacktivity 或 Bugcrowd 上某个项目有很多活跃黑客时,我最初会感到气馁甚至直接放弃。现在我知道了:如果一个项目没有活跃黑客,那肯定有问题——要么平台对待黑客的态度恶劣,要么只是个缺乏定期更新的简单应用,只能找到低价值漏洞不值得投入时间。
目标项目的黑客数量确实会影响成功率(就像盘子里有 20 个苹果,50 个人抢和 10 个人抢的概率差异),但项目也需要保持活跃度才能确保存在可挖掘的漏洞。这就是优质私人项目的价值所在——它们限制猎人数量,同时提供可长期挖掘的新目标。
2. 范围选择
刚开始时我对项目范围也有误解,认为范围越大越好(比如 Hackerone 上的美国国防部项目)。所以我只攻击 NASA、加州政府等大范围 VDP 项目,从不敢碰 Airbnb、Quoka 等主应用。转向漏洞赏金项目后,我仍专注于包含大量通配符域名的宽范围项目,结果整天忙于侦查却从未真正深入攻击,感觉在浪费时间。
后来我决定选择主应用集中攻击,只做基本侦查:点击每个按钮、检查 JS 文件等。但又一次犯错——专门挑选几乎没有其他黑客的主应用项目,结果这些应用过于简单,功能有限且很少更新,难以发现有价值的漏洞。
最终我采用平衡策略:寻找活跃度高、功能复杂(如 Airbnb 包含房东、租客等多角色)、频繁更新的主应用项目。按照这个方法,我获得了第一笔赏金。符合这类标准的项目示例:
Airbnb
Atlassian
Gitlab
需要说明的是,我最初也在 NASA、博世、荷兰政府等宽范围 VDP 中发现过漏洞。目前主应用策略对我更有效,但仍有不少人专攻宽范围项目获得成功。
3. 如果重新开始我会怎么做
如果重头再来,我会同时选择一个宽范围项目和一个主应用项目,各投入至少 2 周或 40 小时。目标不是非要找到漏洞,而是发现自己的兴趣点和更喜欢的攻击风格。
宽范围攻击更像是模拟攻击者试图通过企业网络资产入侵,侧重整体组织;而主应用攻击则聚焦于利用应用中的其他用户。确定兴趣后,我会选择符合以下条件的目标:不太知名(黑客不多)但保持活跃(确保存在漏洞)。对于主应用,我会选择 Airbnb 这类功能复杂、角色多元的系统,避开简单网店;对于宽范围项目,则选择包含大量资产和可注册功能(便于认证后攻击)的目标。最佳情况是获得优质私人项目邀请(可惜我还没这个运气)。
选定合适项目后,我会集中精力深入研究,在擅长领域达到精通后开始自动化流程提高效率。
4. 私人项目的重要性
关于私人邀请我要发表一个可能引发争议的观点:如果专注于传统 Web 应用漏洞赏金狩猎,私人邀请是在 Hackerone、Bugcrowd 等大平台稳定获利的唯一途径。通过记录自己的赏金之旅,我有幸与不同水平的黑客交流,包括 Hackerone/Bugcrowd 前 100/500 的顶尖高手。至今我未见过仅靠公开项目就能稳定收入的手动漏洞猎人——除了像 filedescriptor、Ron Chan(多年前已退出)、Youssef Sammouda 等传奇人物。他们花费数年深挖 Twitter、Uber、Meta 等单一主应用项目,同时具备极高技术水平。
另一方面,我也认识依靠赏金维生的黑客,他们甚至通过攻击 VDP 项目来获取更好的私人邀请。这不是贬低私人邀请,而是保持现实预期。正如前文的苹果比喻,更少人搜索的资产或更新鲜的目标自然更容易发现漏洞。
因此我认为,优质私人邀请对普通漏洞猎人的成功至关重要,但获取需要运气和时间积累。坚持的时间越长,获得的私人邀请越多,对运气的依赖就越少。当然,发现第一个有效漏洞或赚取初始奖金并不需要私人邀请。
结语
正如开头所说,这些全都来自我的个人经验。这段旅程充满挑战,投入了无数日夜,但也乐趣横生并结识了许多优秀的人。最后我想说:不要过度纠结,保持专注,Just Do It!该来的总会到来——或早或晚,但一定会来!
你可以在 X 上关注我的漏洞赏金之旅:3NVZ (@YourFinalSin) / X
支持请至:buymeacoffee.com/3NVZ 更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)公众号二维码

评论