成为一名漏洞猎人,为厂商提交漏洞(而非将信息出售给出价高者),已成为且是很多道德黑客的野心。
厂商付钱购买这些信息的做法并非由来已久。那时,漏洞猎人所能期待的最好结果是获得一份诱人的工作邀请,尽管对于多数漏洞猎人而言,进入该厂商的“名人堂”就足以令人激动。如今,很多厂商和服务提供商设立了官方漏洞披露计划,或自行运营或由第三方管理,并为提交高质量的漏洞报告发放漏洞奖励。现有漏洞奖励计划的数量之多以及奖金偶尔会达到十万或数十万美元的事实,使得很多漏洞猎人将搜寻漏洞当作唯一的职业。而尚未完成但期待完成这种职业转变的人想知道,自己是否适合这样的生活和工作。美国弗吉尼亚州的黑客 Tommy Devoss 认为,如果已经拥有一份稳定且收入良好的工作而且需养育一两个孩子,那么漏洞猎人的全职工作可能并非最佳选择。一个原因是,搜寻漏洞牵扯很多精力(学习)和时间。但生活在德国奥斯纳布吕克市、现年30岁的罗马尼亚籍黑客 Cosmin认为,如果你做好迎接这一切,那么你就会成功。他给出的建议是,“阅读文档,学会编写自己的工具,阅读安全类文章,投入时间开展研究,学会编写漏洞报告,并总是通过适合自己的战术战略接近目标。要坚信自己和自己的思维是独一无二的,所以不要人云亦云。尝试从所有人身上学习一些知识和技能,然后想办法把适合自己的集成到自己的工作流中。”一年前,阿根廷的年轻人 Santiago Lopez 成为首个通过 HackerOne 平台赢得100万美元奖金的漏洞猎人。他认为,“被浪费的时间”也是准全职漏洞猎人一直需要考虑的。意思是,有时候你费尽周折发现了一个 bug,然而其他黑客恰好提前几天或者几小时提交了文档和漏洞报告。而漏洞奖励计划很少奖励第二个发现漏洞的人。他认为,对于有抱负的漏洞猎人而言,处理上述现实的能力和无止尽的好奇心以及想要破解一切的欲望一样至关重要。上面提到的三名全职黑客/漏洞猎人有着各自不同的入行经历。Lopez 的入行是最一帆风顺的:15岁时开始 hacking,16岁时拿到第一次奖金。此后,他发现了1600多个安全缺陷。挖掘漏洞实际上就是他的第一份工作。DeVoss 也在孩提时代开始 hacking,但一路坎坷。他说道,“在学校我会花十分钟的时间完成功课,然后就开始捣鼓计算机。10岁或11岁的时候我偶然闯入一个聊天室,里面的成员教我如何 hack。当时就是感到无聊,学着玩的。中学时候第一次惹麻烦,被告知不准接近计算机,但我没有照做。我和其他人一起攻陷了安全的政府系统并再次被抓,度过了四年的牢狱生涯。我被告知,如果下次再被逮捕,那么只能将牢底坐穿。”对于他而言,漏洞奖励计划是一种恩赐,因为他可以在守法的前提下继续从事自己热爱的爱好工作。当时,公司提供技能开发福利,他和同事可以选择一项活动或课程。他选择的是德国汉堡市举办的一个黑客实践研讨会,在那里,他第一次知道了漏洞奖励计划。“不久后我注册了一个账号。起初比较痛苦,不过后来慢慢地获得了更多的经验,现在我全职已经快两年了。”DeVoss 认为,“如果你真的是一周工作40个小时并且足够优秀,那么一年很容易赚到7位数。我现在一个月工作10到40个小时,去年已经赚了90.3万美元。我最高的单次奖金是2.8万美元,我最高的单日收入应该差不多是18万美元。”Cosmin 表示,心无旁骛的全职漏洞猎人一年的最高收入是没有上限的,不过最终的奖金将取决于运气、时间点和经验。然而,于他而言,HackerOne 等平台漏洞猎人工作的最大优势是,想工作时工作,想工作多久就工作多久,“这样我能不断尝试并保持巅峰状态,如果我心情不好或受挫,我就会暂停,因为通常坚持下去只会带来更多的挫败。另外一个优势是,我可以支配自己的休假时长。我可以受邀参加实时黑客活动并和来自全球各地的朋友相会。”当然,也有劣势。他表示,“你没有固定的工资,所以几个月没有工资的日子比其他人更难捱。社交孤立也是问题。最后,你真的希望知道什么时候可以停止或修改工作安排避免过度劳累。”可能这一点也在情理之中:对于 Devoss 而言,通过漏洞奖励平台报告漏洞的最重要优势之一是,这类平台提供保护措施(平台确保奖励计划的运营方式会保护研究人员的合法性)。Lopez 喜欢搜寻 IDOR(不安全的直接对象应用)bug,主要是因为这类漏洞易于发现且厂商奖金不菲。他解释称,“我在职业生涯中有机会找到很多有意思的 IDOR。最有意思的一些漏洞使我能够越权删除受影响公司或创建的任意账户或编辑关键设置。”除此之外,他喜欢奖金丰厚且涵盖范围广泛的漏洞奖励计划,以为这样就能不断探索并研究新东西。Cosmin主要搜寻的是访问控制不当漏洞、云实例的错误配置、自我提权缺陷以及登录进程中的信息泄露 bug 或问题。他表示,“我不会花费同样的时间查找 rXSS漏洞,我也根本不会查找 SQL 注入缺陷。我主要用 Burp,因为它能满足我的所有需求而且有很多非常好用的插件,不过我也有一些定制化构建工具。”DeVoss 用的也是 Burp,他也喜欢 Sublist3r 和 dnscan。他分享称,“我的时间基本花在 Verizon Media 上,因为这是我最熟悉的,不过我也会看下新设的非公开漏洞奖励计划。我最喜欢的 bug 也是我在 HackerOne平台上获得的单日最高奖金:我绕过了 Verizon Media 的黑名单保护措施,复现了几个月来提交的所有 bug。”Lopez 表示,“对于不想循规蹈矩在企业上班、想要更多灵活性的人而言,hacking 一直都是良机。随着公众对 hacking 的了解增多,它的利基可能会缩小,我们面临的竞争也会更多。”所有者三名黑客都发现 HackerOne 平台上涌入大量黑客,不过他们乐于看到这种竞争状态。Cosmin 表示,“我发现了更多的专业漏洞奖励计划、更大的攻击面和更高的奖金。另外还看到漏洞奖励计划之间和黑客之间的竞争日趋激烈,这是一个非常健康的趋势,因为它会促进两方不断改进。”越来越多的智能事物连接到互联网,而构建物联网设备的企业仍然并不重视安全,这就造成了大量的威胁面。DeVoss 表示,“我认为防御人员终将获胜,就是因为现在我们的队伍非常庞大”,不过他指出只有我们更加严肃地对待安全,才会遏制网络犯罪。Lopez 指出,黑客社区有着欢迎和支持的氛围,因此在社交媒体关注黑客或者加入黑客论坛有助于有抱负的道德黑客不断学习并跟进想法和信息。不过,不要从一开始就一头扎进全职漏洞猎人的职业可能更好。Cosim 建议道,“首先确保了解自己做的事情,因为hacking 的学习曲线非常陡峭,在开始阶段压力非常大。在选择全职漏洞猎人工作之前,有必要先经历至少半年或一年的兼职漏洞猎人工作状态。你还应该满足一定的条件:或者具备一定的经济保障,或者你还年轻,没有太多支出。”
https://www.helpnetsecurity.com/2020/04/07/bug-hunting-career/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~