无电脑也能成为漏洞猎人：我的实战经验分享

大家好，我叫 Abdoul，是一名漏洞猎人、安全研究员，来自西非几内亚。在这篇文章中，我将向大家解释我如何在没电脑的情况下成为漏洞猎人，请原谅我的英语不够好。

游戏开始...

什么是漏洞猎人？

漏洞猎人就像是白帽黑客，他们发现漏洞并根据负责任披露政策向网站所有者报告。

什么是漏洞赏金计划？

漏洞赏金计划是由许多网站和软件开发者提供的交易，个人可以通过报告漏洞获得认可和补偿，特别是那些与漏洞利用相关的漏洞。

我如何在没有电脑的情况下开始漏洞挖掘？

我开始学习技术和漏洞挖掘时的困难是不懂英语。我通过在线学习基础英语开始，观看 YouTube 视频，使用安卓应用如 Duolingo、Speaky 等来学习和提高我的英语知识。

由于我的电脑因缺乏资金而损坏，我没有电脑，只能在手机上练习所学。我为朋友设置免费互联网，以便他们能借我电脑。我来自一个商人家庭，白天卖东西，晚上学习编程，白天卖东西，晚上学习黑客技术。

最困难的是我无法与兄弟、朋友、家人分享，因为他们认为技术只属于美国人、欧洲人、亚洲人，而不是几内亚的穷人。

我记得第一次听到"漏洞赏金"这个词时，我直接在 Facebook 的漏洞赏金论坛上提问："我懂编程，我需要学习什么工具来进行漏洞赏金？"。一位很棒的人 Shan Kar 回复我："学习基础的 OWASP 前十、Burp Suite 等。"我直接在 Facebook 上给他发了消息。

那是我伟大的一天，再次感谢亲爱的 Shan Kar。经过几天的学习，我成功入侵了几内亚第一家电信公司，报告后获得了五件 T 恤。

又有一天，我入侵了 Ubagroup 的在线聊天系统，但在非洲，当你入侵一家公司时，你什么也得不到，甚至连感谢都没有。我认为他们不知道安全的影响。

现在我只是每天入侵、吃饭、睡觉，重复这些事。

新手如何成为漏洞猎人或安全研究员？

有一些关于 Web 应用渗透测试方法和网络狩猎的书籍。通过这些你可以学习渗透测试和漏洞挖掘的基础知识和要点。由于漏洞赏金通常包括网站目标，我专注于让你开始 Web 黑客。

• Web 应用黑客手册

• OWASP 测试指南

• Web 黑客 101

对于像我这样没钱买书的人，你可以通过在 Google 上搜索找到 PDF 文件。

免费学习网站？

• Hacker101

• Bugcrowd 大学

在哪里练习？

• ctf.hacker101

• Hacksplaining

• WebGoat

• OWASP Juice Shop

• HackEDU

当你有漏洞挖掘基础后，开始阅读技术文章。

在哪里阅读技术文章？

• Pentestland 技术文章

• HackerOne 黑客活动

• Awesome Bug Bounty 技术文章

在 YouTube 上观看漏洞挖掘教程

• JackkTutorials

• Jhaddix 的网站侦察方法

• 漏洞挖掘方法论

• Frans Rozen 的《漏洞赏金猎人的秘密生活》

漏洞猎人使用什么工具？

浏览器如 Firefox、Chrome、Safari、Internet Explorer

用于侦察：Shodan、Censys、Wappalyzer 等

用于利用：

• Burp Suite

• SQLMap

• Nmap

你可以在这些地方找到很棒的工具：

• Bugcrowd 论坛

• Bug Bounty 论坛

漏洞猎人使用什么操作系统？

• Kali Linux

• Parrot 等

在哪里找到很棒的有效载荷？

• XSS 有效载荷

• PayloadsAllTheThings

• SQL 注入有效载荷

• Google 搜索语法

获得赏金的漏洞赏金平台？

• HackerOne

• Bugcrowd

• Synack

• Bounty Factory

• ...

游戏结束

在 Twitter 上关注我，分享和鼓掌

非常感谢阅读我的文章，希望你喜欢它。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享