2020 年Bug 赏金- 一些想法 [Discussion] – 错误赏金- 0x00 秒

0x00 们大家好！

这是过去几周我一直在想的事情，它涉及利用国内渗透测试中错误赏金领域常见的方法的主题。特别是当涉及到可能拥有大量资产的非常高且开放范围的测试时。

通常，作为渗透测试人员，您的目标是1. 进入，2. 识别尽可能多的不同潜在进入方式。这可能包括任意数量的漏洞。

一些错误赏金方法技术，例如执行站点范围的屏幕截图、自动下载所有检测到的JavaScript 文件以及通过正则表达式抓取它们以获取秘密。

我看到许多自动化和连续扫描解决方案都来自这场被称为错误赏金社区的革命。老实说，我觉得好像一些最优秀、最积极的黑客都在漏洞赏金领域。创新是从赏金的奖励中孕育出来的。就我个人而言，我正在开发一个围绕自动枚举的解决方案（然后进一步比较，或跟踪扫描之间的变化）。

我今天在NahamCon 上观看了一些会议演讲，我注意到的一件事是，当我第一次开始安全工作时，我感受到了一种敬畏感，那种“哇，这些人处于另一个水平”的感觉。我真的觉得现在的错误赏金社区将被历史铭记，因为它为那些有能力获得奖励的人打开了大门。

对我来说，主要是社区。 Twitter 非常活跃，漏洞赏金猎人不断分享他们的工具和知识。

你怎么看？您是否有机会了解bug 赏金圈子里的人们在做什么？你觉得有什么意义吗？让我知道！

我认为错误赏金如此成功的原因是人们所需要的一切就是一台计算机和空闲时间。你不必受雇，你可以根据自己的需要调整你的时间，例如学生，可能不需要适当的雇主工资（尽管没有人不会说不），所以他们尽可能多地打猎他们需要这样做，其余的只是为了好玩。这让许多几乎没有经验的人进入了信息安全世界，在那里他们可以证明自己的技能并赚取一些钱。此外，在现实世界中测试你的技能对于猎人的技能非常有益。

……剩下的只是为了好玩。

这在社区角色中也发挥着重要作用。很多人，比如我自己，都是为了好玩（利润只是一个很好的补充），所以我没有必要隐藏我的技术或知识。因此，我发布了我所拥有的一切，以便社区能够从中受益（希望如此）。

另外，我有一些关于错误赏金/渗透测试方法的问题要问大家：

1. 当存在完全开放的范围时，例如 *.domain.com，您从哪个域开始寻找错误？这背后有什么原因吗？我个人从主应用程序开始，慢慢开始探索其他领域。

2. 另外，当您执行站点/域范围的屏幕截图时，您看到什么可以激起您的兴趣？文本输入？登录表格？

是的，就这么多！生活在几乎没有机会的国家的人们可以使用他们的20 年前的旧电脑，安装Parrot，然后通过黑客技术赚大钱！我喜欢它。

这个概念的另一件很棒的事情是，招聘过程中不可能存在偏见，因为根本不存在偏见。唯一的潜在机会可能是错误分类器，但是如果您是匿名的（您完全可以匿名），您应该完全根据优点来对待，这太棒了！

在回答你的问题时，当我查看我的aquatone 结果时，我会寻找错误消息，也许有一个接管机会？哪些是cloudflare，哪些不是？ CMS也是如此，如果有Jira，我可以找到过时的版本吗？如果我能够成功喷射，是否存在可以利用的经过身份验证的漏洞？

我最近一直在做的事情是从LinkedIn 提取电子邮件并生成用户名。还没有工作，但可以做 值得一试。

漏洞赏金当然有其改善安全状况的方法。然而，上次我检查时（那是很久以前的事了）我发现系统本身对研究人员进行了相当程度的操纵。漏洞猎人的每一步都受到严格的监管（他们应该如此），但没有任何针对公司的监管来让他们履行职责（支付赏金）。公司可以轻松地取消您的调查结果获得任何赏金的资格。但如果你，作为一名bug 猎人，没有得到报酬（不正当），你就没什么可做的了！你只能对公司投反对票，在推特上或博客上讲述你的糟糕经历。就是这样。事情可能已经改变了

是的，这是真的，我也注意到了这一点。

骗子也是彻头彻尾的混蛋，你做了工作，你发现了错误，没有钱？他妈的！

我听说好的私人项目是有钱有好东西的。我认为这是每个研究人员都会遇到的事情，但如果你很优秀，并且使用了正确的程序，那么它可能真的很糟糕。

Bug Bounty 有它的问题，但它现在也很不成熟，人们才刚刚开始。在我看来，这确实是在推动创新，而且有些人从中做得很好。

我认为H1、BugCrowd等BB平台应该采取坚定的姿态来保护双方。我发现目前的情况非常有偏见，私人项目并不能解决问题，只能拖延问题。要求明确的赏金资格并通过中间人分析强制合规可能是BB 平台的良好开端。另一方面，漏洞猎人可以支付入场费或佣金才能成为利益相关者。 BB平台的资本是它的猎手而不是客户。因此，在我看来，这些公司应该争夺更多的猎手。为了迎合这一点，他们应该开始坚定地代表研究人员进行倡导。之后客户就会跟进。

我喜欢BB 所代表的含义以及它可以为安全研究人员提供的生活方式。但就我个人而言，在这种不公正现象得到解决之前，我不打算参加任何BB 活动。

我只向两个错误赏金平台提交了两次提交，但是，我觉得这在这两种情况下都对我不利。作为一名试图通过作品集突破并进一步进入该行业的业余安全研究人员，我有点依赖于写下我发现的漏洞。因此，如果我不明白这是如何完成的，请原谅，如果我说的有任何错误或可以改进的地方，请纠正我。

我提交的第一个提交是本地权限提升：高危漏洞。我不仅被标记为重复，而且还与中等风险文件删除的报告重复。该计划的高和中发现之间的差异为500 美元- 1,250 美元。我得到了50 美元的报酬。现在我明白，当我提交这份报告时（尽管我有一些希望），这不会是公开披露的（这将成为讨论连锁漏洞的绝对杀手级文章），然而，真正的问题是，该报告几乎是在一年前（截至撰写本文时），仍处于分类阶段。请放心，我在同一产品/供应商中发现的未来漏洞已被公开披露，并且我拒绝了他们在错误赏金平台上向我提供补偿的提议。

我提交的第二笔赏金的唯一问题是不允许公开披露。它肯定会允许一个非常酷的逆向工程职位并增加我的投资组合。

我不知道错误赏金平台如何以任何重要方式帮助研究人员- 供应商仍然保持着对研究人员和漏洞的控制权。但我并不否认它缩小了两党之间的差距。我知道目标是提高安全性，并且我知道您可以做到这一点，而无需公开报告发现的每个漏洞，但我不是经验丰富的研究人员，我不会每天都发现漏洞，而且我有目标进入某些领域安防行业的地位。每一点都有帮助。当然，我 可能 如果我的漏洞不是骗子，我会得到报酬，但对我来说，这只是发现错误之外的额外奖励——我更喜欢投资组合而不是金钱。因此，就目前情况而言，我不再通过赏金平台提交，我会让供应商知道他们是否有漏洞，如果他们不识别并修复它，我就会放弃它。

确实，即使有H1 和Intigriti 这样的平台存在，公司仍然占据上风。我认为这种情况不会随时消失。我不知道公司和BB 平台是如何合作的，但最终都是公司决定接受或拒绝一个bug。

我不明白错误赏金平台如何以任何显著的方式帮助研究人员……

他们提供的唯一帮助是研究人员可以在一个地方找到许多BB 程序。我想它只是节省你的时间́\_(ツ)_/̊。但如果你做BB是为了学习之外的任何原因，那就很难了。
最好的办法是找到一家公司的BB 项目，该项目实际上尊重研究人员，并坚持下去，这很难，因为正如您之前提到的，他们占据了上风。