从初学者到向 HackerOne 提交 5 份报告

2025-06-07

从初学者到向 HackerOne 提交 5 份报告

成功就是从失败走向失败,却依然保持热情。——温斯顿·丘吉尔。

我写这篇文章是为了自我负责,并声明,尽管我已经向漏洞赏金平台hackerone提交了 5 份报告,但至今尚未获得任何报酬。目前我有 4 份重复报告和 1 份报告为参考报告。这是我的 hackerone 个人资料:pirateducky

今年(2019)年初,在应聘前端开发员职位被拒后,我开始学习 Web 应用安全。之后,我回顾了自己学习编程的初衷,记得当时我告诉自己,我想学习黑客技术——那是大约四年前的事了,当时我买了以下书籍:

  1. 黑客与渗透测试基础知识(第二版):轻松进行道德黑客与渗透测试
  2. 黑客手册2:渗透测试实用指南
  3. Rtfm:红队野战手册

我开始阅读,但什么都不懂,但我不断尝试,用谷歌和YouTube做研究。有一次,我决定回归基础,开始寻找学习编程的资源。最终,我在Coursera上找到了一门课程,教我如何构建Web应用程序。我失败了很多次,花了好几个小时去解决一些小问题(看看你的语法错误),努力理解计算机科学的概念,绞尽脑汁直到“啊哈!”的那一刻到来。我喜欢挑战自己,学习新事物,但在此之前,我学的只是纸上谈兵,并没有真正付诸实践。我在网上学习了一些课程,购买了一些非常好的教材——这些教材非常有帮助,但后来我忘记了自己为什么开始这段旅程,直到我被自己申请的工作拒绝。被拒绝后, “冒名顶替综合症”开始发作,我不禁感到自己不知道自己在做什么,但后来我发现了hacker101 CTF,它允许你解决挑战并获得标志,这些标志会变成积分,最终会变成私人计划的邀请,这样你找到漏洞并获得报酬的机会就会增加。

我开始参加 CTF,但在第一个挑战之后就完全迷失了方向。然后我跳上推特,看看能不能找到也在参加 CTF 的人。我运用我出色的开源情报收集 (OSINT) 技能,#hacker101找到了一个用户 ( @nemessisc),她为参加 CTF 的人建立了一个 Discord 服务器。我给她发了一条消息,问她我是否可以加入,她发了邀请,事情就从这里开始变得有趣起来。我发现那里有一个非常棒的社区,里面都是和我一样在参加 CTF 并且苦苦挣扎的人,大家分享资源,总体来说非常友好。这太棒了,我在那里结识了很多朋友,有些是上过新闻的黑客专家,有些是像我一样的初学者,我们都互相帮助。

通过这些优秀人士的帮助,当我不知道自己在做什么或要问什么时,我能够使用 Google 了解从一个挑战到另一个挑战的基本漏洞。在参加了几周的 CTF 比赛后,我决定出去寻找漏洞,我XSS在一个网站上弹出了一个漏洞,我感到很兴奋,看到我的漏洞真正出现在页面上感觉很棒alert(1)然后我提交了报告,但它返回的是重复的,这意味着其他人已经找到了它,但仍然 - I had found an actual bug,这是一次很棒的经历,从那时起,我继续参加 CTF 比赛并寻找漏洞,我总共发现了 4 个重复的漏洞和 1 个有用的漏洞。

我也参加了我的第一个安全会议BSidesNash。我通过 Twitter 找到了一个组织会议的很棒的当地黑客团体——他们邀请我加入并成为组织工作的一部分,我很高兴地接受了,这是我做过的最好的选择,因为我认识了很多朋友和很酷的人。和有共同兴趣、激励你做得更好的人在一起真是太棒了,这是我以前从未有过的感觉,所以我感觉很自在。我每天都在继续学习,不断进步,将我的知识推向极限。认识每个人是一次很棒的经历,学习新事物总是让人兴奋,所以最近我感觉自己就像一个在糖果店里的小孩。我的目标是继续鞭策自己,向我在 discord 服务器和本地遇到的人学习。

我被前端职位拒绝了,但这让我回想起我开始这一切的初衷:我的好奇心永无止境,我的求知欲也近乎无止境。我全身心投入其中,并希望以此为职业——无论是人生、宇宙,还是其他任何你想称呼的:我都准备好了,我准备好挑战自己,学习一切我能学到的东西。我仍在寻找我的第一个有效漏洞,我知道它就在不远处。用一位著名哲学家的话来说——

“必须把他们全部抓住”——来自真新镇的 Ash。

作为初学者,我认为重要的提示:

  1. 善待每一个人。
  2. 不要害怕提问。
  3. 耐心。
  4. 毅力。
  5. 加入社区(S/O 到 hacker101 Discord)如果您想加入,这里是邀请
  6. 找到一个当地团体(S/O 至BSidesNash)。
  7. 远离电脑休息一下。
  8. 分享你所学到的知识。
  9. 不要攻击你没有权限攻击的东西。
  10. 玩得开心。

一些适合初学者查看的精彩资源:

  1. hacker101 CTF - HackerOne CTF
  2. hacker101 YouTube Hacker101 播放列表。
  3. Stök 的 YouTube - 很棒的 YT 频道。
  4. 斯威格港大学——很棒的教育内容。
  5. Web Hacking 101 当你注册 hackerone 时,你可以免费获得这本书
  6. PayloadsAllTheThings - 包含各种有效载荷的 Repo。
  7. PenTester Land——注册他们的时事通讯太棒了!
  8. 在 Y 分钟内学习 X - 编程语言的精彩入门书。

致未来的我:我希望你仍在学习新事物,你的好奇心依然未减。我相信你已结识更多优秀的朋友,并参与了一些精彩的活动。保持好奇心,不要让任何人告诉你你做不到。

文章来源:https://dev.to/pierateducky/from-beginner-to-submitting-5-reports-to-hackerone-4goh
Devto 翻译
PREV
Vue 3 新特性总结
NEXT
面向开发人员的五大开源项目