Staying sane in bug bounties

zseano

11 Nov 202124:52

Summary

TLDR在这段视频中，自称为mizzy的Shawno分享了他从事漏洞赏金狩猎的经历和心得。Shawno是一名自学成才的黑客，自2016年开始参与漏洞赏金，并在Bugcrowd平台上仅通过针对一个程序就达到了第二名。他强调了持之以恒的重要性，并建议新手专注于一个程序以深入理解。Shawno还讨论了在漏洞赏金过程中可能遇到的挑战，如重复报告、被标记为按预期工作的问题以及报告过程中的沟通问题。他提供了关于如何处理这些问题以及如何在赏金狩猎中保持理智的建议，并鼓励大家加入漏洞赏金社区，建立联系，共同成长。

Takeaways

😀 演讲者mizzy是一名自学成才的黑客，2016年开始从事漏洞赏金工作，并在bugcrowd平台上通过针对单一程序达到第二名。
🔒 演讲者强调任何人都可以通过坚持和专注在漏洞赏金领域取得成功。
🕒 演讲者建议，无论是全职还是作为爱好，保持一致性并像对待工作一样对待漏洞赏金是关键。
🔄 演讲者提到，专注于同一个程序有助于更深入地了解目标，从而发现更多漏洞。
📈 演讲者分享了在漏洞赏金过程中可能遇到的问题，如重复报告、被标记为按预期工作的问题以及报告过程中的沟通问题。
👥 演讲者建议与其他黑客建立联系，通过交流和分享信息来提高自己的技能和效率。
💡 演讲者鼓励在遇到问题时寻求帮助，无论是通过平台支持还是与社区中的其他研究人员交流。
💼 演讲者提醒，即使在漏洞赏金领域遇到挫折，也要保持专业态度，不要急于公开问题，而是尝试通过正式渠道解决问题。
🌐 演讲者提到，除了bugcrowd等平台外，还有许多其他外部漏洞赏金程序，值得探索。
🌟 演讲者最后强调，不要因为短期内的困难而放弃，长期的坚持和学习将带来成功和满足感。

Q & A

演讲者mizzy是谁？
-mizzy是一位自学成才的黑客，从2016年开始参与漏洞赏金，并在bugcrowd平台上仅通过针对一个程序就达到了第二名。
mizzy在演讲中提到了哪些关于漏洞赏金的入门建议？
-mizzy建议初学者设定目标，理解漏洞赏金的运作方式，并保持一致性，尤其是如果全职做漏洞赏金的话，要像对待工作一样对待它。
演讲中提到的'内部重复'是什么意思？
-内部重复是指公司通过自己的安全团队或红队演习发现并记录的漏洞，这些漏洞在赏金猎人报告之前就已经被公司知晓。
演讲者如何看待在漏洞赏金中遇到的重复问题？
-演讲者认为遇到重复问题时，了解漏洞报告的日期是关键，如果是一个新近发现的问题，可能需要改变策略或寻找不同的漏洞类型。
如果公司将漏洞赏金报告标记为'按预期工作'，演讲者建议如何应对？
-演讲者建议首先尝试通过赏金平台专业地解决问题，如果不行，可能需要接受这个结果并继续前进，同时强调了在赏金狩猎中保持良好关系的重要性。
演讲中提到的赏金平台支持的重要性是什么？
-赏金平台支持对于赏金猎人来说很重要，因为当与公司发生争议时，平台可以作为中介帮助解决问题，并且赏金平台的工作人员通常也是有经验的黑客，能够提供帮助。
演讲者对于赏金猎人在赏金狩猎中的心态有什么建议？
-演讲者建议赏金猎人在遇到挫折时保持冷静，将每一次的经历视为学习机会，并且不要因为短期的困难而放弃。
演讲中提到的'外部程序'是指什么？
-外部程序指的是除了主要的漏洞赏金平台之外，其他公司直接运营的赏金计划，这些程序可能不会通过赏金平台进行管理。
演讲者如何描述赏金猎人社区的互动？
-演讲者描述赏金猎人社区非常友好和支持，鼓励赏金猎人之间建立联系，分享想法，并且通过社交媒体和Discord等平台进行交流。
演讲者对于赏金猎人的职业发展有什么建议？
-演讲者建议赏金猎人不要过早放弃，要持续学习和尝试不同的程序，同时也提到了赏金猎人最终可能会因为赏金狩猎的挑战和回报而转行。