國外一位白帽子2年來總結的10條經驗

背景介紹：

這位白帽子在HackerOne上的ID名為“Ahmad Halabi”，最近他將2年來的挖洞經驗做了整理總結。

計劃制定：

首先來看看這位白帽小哥2年來的計劃：

• 2019年6月到2020年6月:主要是在VDP (無獎勵計劃)的項目上學習和練習，因為這些目標更容易學習和發現漏洞，而且他本人更喜歡攻擊真實的目標，而不是虛擬的CTF比賽
• 2020年6月至2021年6月:這段時間主要專注于VRP(獎勵計劃)的項目，幾乎很少再碰VDP，保持學習，因為一旦停止學習，就永遠不會達到令自己滿意的程度

成就一覽：

看看經過2年來的努力，這位白帽小哥所獲的成就：

• 獲得全球200多家公司的認可，并獲得了獎金/答謝證書/名人堂/獎品/徽章
• 2019年美國國防部黑客第一名
• 2020年IBM黑客第一名
• 2020年美國國防部排名第三的黑客
• 2020年HackerOne排行榜黑客第七名
• 美國國防工業基地黑客第一名
• 在HackerOne上被評為全球前50名黑客
• 在HackerOne上獲得12700以上的聲望(仍在增長中)
• HackerOne在黎巴嫩(白帽小哥所在的國家)排名第一的黑客

經驗&建議：

1、如果你沒有足夠的經驗和知識，不要把“挖漏洞”當作一份全職工作，因為很快你就會“捉襟見肘”，最好可以做份兼職工作來增加額外的收入

2、永遠不要停止學習，因為每天都會有新的漏洞出現，新的保護措施也在實施，所以如果你想繼續找到漏洞，就必須保證自己不斷學習

3、閱讀文章非常重要，對于你閱讀的每一篇文章，你都會學到新的知識，通過不斷擴大你的知識面，你就有了更多接近目標的方法

4、自動化不一定能幫你找到漏洞，但它們會幫你在找到漏洞上大大提升效率，在不了解其背后原因的情況下盲目自動化是成效甚微的，即使你使用自動化并發現了漏洞。白帽小哥一般在收集、偵測階段使用自動化，而不是在挖掘漏洞時使用自動化，當然有時可以倒是可以通過自動化腳本發現一些信息泄漏

5、不要以賞金為基礎來評判漏洞結果，因為有時在Google中發現的相同漏洞可能比在一個小程序中發現的相同漏洞獲得的賞金支付更多

6、寫一份清晰明了的漏洞報告會受到高度贊賞，有時不一定要寫一份很長的漏洞報告，但至少要清楚的解釋漏洞和復現步驟，另外不要忘記提及修復措施，因為這更能說明你對漏洞的了解程度以及知道如何修復它

7、有時不要糾結于一個目標，做你認為適合自己的事情，如果您發現自己在目標上發現了一個不錯的漏洞，請堅持一段時間并繼續挖掘，相信你一定會發現更多漏洞。另一方面，如果連續幾天都找不到任何漏洞，建議更換目標并適當休息一下

8、不要太過依賴他人的方法去尋找漏洞，你可以學習它們的方法，但在漏洞挖掘時，你應當建立屬于自己的方法和思維方式

9、在挖掘漏洞時，最好列一個清單并做好記錄。這真的很有幫助，有時會錯過檢查一些額外錯誤信息，但當我翻看清單記錄時，可以清楚的知道還有哪些事情沒有做，以便再次去檢查目標

10、不要因找不到漏洞而感到失望和沮喪，但沒關系，這證明在這個領域的漏洞挖掘可能已經被大量的白帽子嘗試過了，即便有很多撞洞也沒關系。為了找到屬于你的獨特漏洞，你必須擁有與眾不同的思維和與眾不同的行為