我覺(jué)得，應(yīng)該在信息安全或漏洞挖掘之外，找到一個(gè)可以釋放壓力的方法或愛(ài)好。對(duì)我自己來(lái)說(shuō)，漏洞挖掘是一個(gè)極度深入內(nèi)心的愛(ài)好，每當(dāng)我忽略了生活中的一些重要部分之后，我就發(fā)現(xiàn)自己并不開心。因?yàn)闊釔?ài)過(guò)度，陷入太深，有時(shí)候我 覺(jué)得自己已經(jīng)走火入魔了，如果能有一些東西能讓我暫時(shí)脫離漏洞挖掘工作，即便是一種簡(jiǎn)單的愛(ài)好或者曾經(jīng)的美好時(shí)光，我也愿意。

　　5 建議

　　計(jì)劃一個(gè)切實(shí)可行的目標(biāo)

　　我是從2016年1月開始我的“高效挖洞計(jì)劃”的，在堅(jiān)持了兩個(gè)月左右的“一天一洞”節(jié)奏后，我遇到了第一個(gè)倦怠期。我犯的最大錯(cuò)誤是沒(méi)有完全理解漏洞發(fā)現(xiàn)過(guò)程的波動(dòng)性，從黑盒測(cè)試的角度來(lái)看， 未被發(fā)現(xiàn)的漏洞 是不可量化的，而我自己也不能很好的判斷發(fā)現(xiàn)漏洞的可能性。在120天的時(shí)間里，我曾三次到達(dá)了瓶頸期。我每天如果不能按計(jì)劃發(fā)現(xiàn)一個(gè)漏洞，情況就會(huì)變得更糟;如果在10天之內(nèi)，我還沒(méi)有發(fā)現(xiàn)一個(gè)漏洞，就意味著我必須在一天之內(nèi)找到10個(gè)漏洞。這個(gè)計(jì)劃讓我放棄的主要原因在于不斷累積的壓力。

　　我支持你 嘗試這樣的高效漏洞挖掘計(jì)劃，只是不要和我犯同樣的錯(cuò)誤–“每天發(fā)現(xiàn)一個(gè)漏洞”。請(qǐng)你放輕松，制訂一個(gè)切實(shí)可行的目標(biāo)，而不是陷入惡性循環(huán)。

　　保持心態(tài)平和

　　當(dāng)你在提交了漏洞之后，你就沒(méi)有了真正的漏洞處置權(quán)。因?yàn)?，?duì)于漏洞獎(jiǎng)勵(lì)平臺(tái)來(lái)說(shuō)，這就是一個(gè)買方市場(chǎng)。如果一個(gè)項(xiàng)目沒(méi)有達(dá)到你所期望的漏洞獎(jiǎng)勵(lì)，就不要參與這個(gè)項(xiàng)目。另外，請(qǐng)記住，沒(méi)有什么神人愿意出高價(jià)來(lái)收買你的漏洞，或者讓你成為黑客新聞?lì)^條，也沒(méi)有什么所謂的“漏洞賞金獵人”聯(lián)盟或黑市愿意為你的漏洞買單。基本原則是，我們只是付出有效腦力勞動(dòng)去獲取該得報(bào)酬的合同工而已，我們的委托公司客戶可能是偉大牛逼的，也可能是極不友好的，這就是漏洞獎(jiǎng)勵(lì)平臺(tái)和商業(yè)市場(chǎng)的本質(zhì)。

　　如果在參與漏洞獎(jiǎng)勵(lì)項(xiàng)目中，你認(rèn)為沒(méi)有得到你該得的報(bào)酬，并且和你提交漏洞的公司有一些內(nèi)部分歧。我建議你看看這兩篇關(guān)于漏洞獎(jiǎng)勵(lì)的博文 《我是如何成為一個(gè)成功的漏洞賞金獵手》 、 《5年漏洞獎(jiǎng)勵(lì)平臺(tái)記錄和感想》 ，或許你可以從中得到一些新的觀點(diǎn)和想法。

　　加入那些友好而熱情的漏洞獎(jiǎng)勵(lì)項(xiàng)目

　　找到并加入那些對(duì)待漏洞研究者非常友好的項(xiàng)目，這些項(xiàng)目把漏洞研究人員當(dāng)成他們自己安全團(tuán)隊(duì)的一部份。他們給你的回復(fù)很及時(shí)，報(bào)酬很慷慨，并且互相之間很尊重。

　　以上就是我對(duì)自己“高效漏洞挖掘”計(jì)劃的一些觀點(diǎn)， 很樂(lè)意和大家分享，也希望大家提出一些意見(jiàn)或建議。

　　6 值得關(guān)注的漏洞1：二級(jí)域名/網(wǎng)頁(yè)劫持

　　根據(jù)漏洞獎(jiǎng)勵(lì)平臺(tái)上的一部分漏洞為樣本，我發(fā)現(xiàn)子域名接管或劫持漏洞的獎(jiǎng)勵(lì)范圍比較大，可以從 $100 到 $7,500不等。這雖然不可思議，但可能是一些公司在漏洞嚴(yán)重程度上有著很大的不同對(duì)比。幸運(yùn)的是，我曾在一個(gè)邀請(qǐng)的漏洞眾測(cè)項(xiàng)目發(fā)現(xiàn)過(guò)子域名劫持漏洞，并且獲得了高達(dá)$7,500的獎(jiǎng)勵(lì)。這個(gè)項(xiàng)目為大多數(shù)有效漏洞支付了高額的獎(jiǎng)金，他們努力修復(fù)漏洞并給予子域名漏洞提交者慷慨的獎(jiǎng)勵(lì)。因此，在六個(gè)月之后，想找出其子域名劫持漏洞已經(jīng)變得很難。這就是漏洞獎(jiǎng)勵(lì)平臺(tái)的作用。

　　然而，作為一名安全研究者，當(dāng)你不能找到一種方式來(lái)對(duì) 子域名進(jìn)行 劫持時(shí)，你會(huì)怎么做?這就是二級(jí)子域名劫持該發(fā)揮作用的時(shí)候了。Web應(yīng)用程序非常復(fù)雜，它可以加載10多個(gè)主機(jī)發(fā)起的應(yīng)用和不計(jì)其數(shù)的請(qǐng)求內(nèi)容。例如，我們可以在wufoo.com類型中嵌入框架或者在Amazon S3 中嵌入JavaScript。有更多關(guān)于動(dòng)態(tài)內(nèi)容通過(guò)網(wǎng)頁(yè)嵌入第三方源的例子，我的大多數(shù)子域名劫持漏洞的成功發(fā)現(xiàn)都是與wufoo和S3形式相關(guān)。

　　( Wufoo 是一個(gè)網(wǎng)站應(yīng)用程序。Wufoo主要幫助人們創(chuàng)建獨(dú)特的在線表格。 在使用這個(gè)Wufoo應(yīng)用程序設(shè)計(jì)表格的時(shí)候，它會(huì)自動(dòng)生成數(shù)據(jù)庫(kù)，后端和腳本，以便用戶收集和輕松地理解數(shù)據(jù)。)

　　假想一下導(dǎo)致二級(jí)域名被劫持的情況：假如你在X公司工作，這家公司已經(jīng)成立了10多年，并且最近開始了一項(xiàng)漏洞獎(jiǎng)勵(lì)項(xiàng)目。隨著X公司各方面不斷的發(fā)展壯大，在過(guò)去的10多年間，其相關(guān)網(wǎng)站的CMS系統(tǒng)也創(chuàng)建了大量網(wǎng)頁(yè)。如果這家公司的網(wǎng)站曾經(jīng)通過(guò)第三方URL的

 2/3   首頁(yè) 上一頁(yè) 1 2 3 下一頁(yè) 尾頁(yè)