干货 | 漏洞赏金猎人成长路径和学习方法
2022-7-26 12:2:37 Author: HACK学习君(查看原文) 阅读量:28 收藏

我要推荐3本书。不用担心它会非常适合初学者并且很容易理解。

→黑客攻防技术宝典-Web实战篇 — 

你应该把这本书当作你的上帝。它详细解释了每个错误的概念,它会告诉你一些例子,比如在商业网络应用程序或一些电子商务网站中找到这些错误的地方等。你如何在详细的步骤中利用这些错误,所以你很容易理解它。

→Real World Bug Hunting — 

这本书采用公开的漏洞赏金报告,然后详细解释它,以便您了解真正的漏洞类别,并且您还会发现一些绕过,因为这些漏洞是黑客在现实生活中发现的,他们'大部分时间也为此付出了代价。我真的很喜欢这本书,因为它给了你一个非常真实的攻击场景。他们也有一些较新的漏洞,如 OAuth 漏洞、竞争条件、子域接管等,我在其他书籍中没有看到这些漏洞。

→Bug Bounty Bootcamp — 

我真的很喜欢阅读这本书,作者是出色的博主和黑客 Vickie Li。这本书不仅解释了错误类别,而且还向您介绍了错误赏金行业。告诉您不同的严重性类型,如何编写好的错误赏金报告,范围如何工作以及其他一些非常特定于错误赏金行业的事情。

上面三本书在HACK学习君公众号后台回复:0726

即可获得下载地址

现在要访问好的博客和文章,你应该在 LinkedIn 和 Twitter 上非常活跃,并关注这个领域的一些伟大的黑客。阅读文章和博客可以帮助您了解黑客的思维方式,并为您的思维过程创造一种创造性的方法。

→Intigriti 时事通讯——

他们有每周时事通讯(Bug Bytes),可以让您了解最新的错误赏金资源和趋势。他们每月发布 XSS 挑战并分享他们非常有用的文章。

→Github——

我们社区中有很多人在一个地方收集了所有的漏洞赏金文章。我将分享一个这样的存储库,其中包含 500 多篇文章。

https://github.com/devanshbatham/Awesome-Bugbounty-Writeups

→Pentester Land——

他们每年都会收到一些令人惊叹的文章。它可供所有黑客免费学习。

https://pentester.land/list-of-bug-bounty-writeups.html

当您学习所有概念时,您必须始终尝试一些动手学习以确保您清楚。

有很多平台都有这种练习的方法:

→Pentester Lab:他们有一些很棒的实验室可以尝试,可以帮助您了解各种错误。基本进阶。他们将添加为学习而发现的新 CVE。

它是有偿的,但很便宜。因此,如果您能获得该订阅,那么您所投资的钱就值得了。相信我!

→Portswigger:这些实验室是免费的,可帮助您了解基础知识。他们最近添加了一些非常独特的错误,这是我在其他平台上没有看到的。独特的错误和实验室是由对它们进行研究的黑客自己制作的。所以试试这个平台,以更好地了解现实生活中的错误。

现在人们说编程语言和编码不是必需的,你不需要知道它就可以开始黑客攻击等。但我认为这非常重要,因为你必须了解漏洞的根本原因才能尝试利用它。所以我建议开始使用的语言是:→PHP和Javascript

JS和PHP编程这些内容B站也有很多视频,自己去了解搜搜看


推荐阅读

实战 | 记一次渗透拿下某儿童色情网站的经过

实战 | 当裸聊诈骗遇到黑客,记一次新型的裸聊诈骗渗透经历

实战 | 记一次对某系统的渗透测试

实战 | 记一次企业钓鱼演练

干货 | 2022年超全的安全知识库

实战 | 实战一次完整的BC网站渗透测试


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzNzMxMDkxNw==&mid=2247488823&idx=1&sn=fd4b8ef45fc85ad87c3197a929e5c252&chksm=e8cbd39ddfbc5a8bb6b584e7ce747cde53688860b076157679b1524ff5d57148f66ca9d33820#rd
如有侵权请联系:admin#unsafe.sh