恭喜!您决定成为一名安全研究员并掌握一些新技能,这真是令人兴奋。我们在下面收集了一些资源,可以帮助您入门。继续阅读我们的演练。
第 1 步)开始阅读!
**
您可以购买一些入门书籍,以帮助您学习渗透测试和错误搜寻的基础知识和要点。由于漏洞赏金通常包括网站目标,我们将专注于让您开始使用 Web Hacking,然后我们将扩展。
注意->
专注于您感兴趣且令人兴奋的黑客领域非常重要。专注于那个领域并边走边学习新事物,但不要试图成为“终极黑客”并学习一切。Bugcrowd 上最伟大的黑客都有专长和感兴趣的领域,但他们不知道如何破解一切。
黑客是一个终生的学习之旅。
你的两本必读书籍如下:
Web 应用程序黑客手册
这是一本绝对必读的书,被认为是网络应用程序黑客的“圣经”。本书从第一部分开始,引导您通过使用工具和查找漏洞来安装 Kali Linux。
OWASP 测试指南 v4
Bugcrowd 的 Jason Haddix 强烈推荐
进一步阅读:
**渗透测试
**
黑客手册 2:渗透测试实用指南
纠结的 Web:保护 Web 应用程序的指南
对于我们的移动黑客朋友:
移动应用程序黑客手册
iOS应用安全
第 2 步)练习你正在学习的东西!
在您学习的同时,确保您也理解并记住所学内容很重要。在易受攻击的应用程序和系统上练习是在模拟环境中测试您的技能的好方法。这些将使您了解在现实世界中会遇到什么。
黑客攻击(https://www.hacksplaining.com/exercises)
这是一个很好的网站,可以了解更多有关各种网络黑客技术及其实现方式的信息。它实际上更像是一个实际的演练。超级好用!
渗透测试实践实验室(http://www.amanhardikar.com/mindmaps/Practice.html)
该站点提供了大量适用于多种黑客场景的练习应用程序和系统列表。使用此列表查找新的测试实验室和站点来练习您的技能。
第 3 步)阅读其他黑客的技术文章和 POCs,并在 YouTube 上观看教程!
现在您已经对如何查找和利用安全漏洞有了基本的了解,是时候开始检查其他黑客在野外发现了什么。幸运的是,安全社区非常乐于分享知识,我们收集了一系列文章和教程:
Bug Bounty write-ups 和 POC(https://forum.bugcrowd.com/t/researcher-resources-bounty-bug-write-ups/1137)
来自成功的 Bug 赏金猎人的 Bug 报告的集合。
Bug Hunting Tutorials(https://forum.bugcrowd.com/t/researcher-resources-tutorials/370)
我们收集了来自 Bugcrowd 社区及其他社区的优秀教程。
Reddit 上的 /r/Netsec(https://www.reddit.com/r/netsec)
Reddit 上的 Netsec 几乎完全是其他研究人员的技术文章和 POC。一个_很棒的_资源。
YouTube上的JackkTutorials(https://www.youtube.com/user/JackkTutorials/videos)
Jackk 创建了许多教程,带您了解 CSRF、XSS、SQL 注入、目标发现等等。
YouTube上的DEFCON会议视频(https://www.youtube.com/user/DEFCONConference/videos)
观看 DEFCON 多年来的所有演讲。非常有用的资源。
YouTube上的Hak5(https://www.youtube.com/user/Hak5Darren/playlists)
Hak5通常专注于硬件黑客攻击,但除此之外,他们还有“Metasploit Minute”节目、HakTip: NMap 等等。
Awesome-Infosec (https://github.com/onlurking/awesome-infosec)
这是一个有用的安全资源的精选列表,涵盖了许多不同的主题和领域。
收集您的工具库 工具
不会成为黑客,但它们肯定会有所帮助!Bugcrowd 策划了大量工具,您可以将它们添加到您的技巧包中:
Bugcrowd 研究人员资源 - 工具(https://forum.bugcrowd.com/t/researcher-resources-tools/167)
第 4 步)加入社区!
加入一个多名黑客组成的社区。这些黑客中的许多人很乐意与一位彬彬有礼且好奇的研究员分享他们的知识。
在 Twitter 和微博上关注白帽黑客
第 5 步)开始了解漏洞赏金
好的,现在您几乎是开始寻找赏金的时候了。但首先,让我们了解漏洞赏金的工作原理以及如何开始,以确保我们最大限度地提高成功的机会。
如何接近目标(https://forum.bugcrowd.com/t/how-do-you-approach-a-target/293)
来自其他漏洞猎人的建议将帮助您在接近漏洞赏金时获得更多成功。
如何撰写出色的漏洞报告(https://blog.bugcrowd.com/advice-for-writing-a-great-vulnerability-report/)
这将引导您了解如何编写出色的漏洞报告。您的报告越好,您获得赏金的机会就越大!
如何编写概念证明(https://blog.bugcrowd.com/writing-up-a-poc-by-planet-zuda/)
概念证明向客户展示您的错误是如何被利用的以及它是如何工作的。这对于成功获得奖励至关重要。
如何报告错误(https://researcherdocs.bugcrowd.com/docs/reporting-a-bug)
我们通过 Bugcrowd 平台报告错误的演练。
漏洞赏金披露政策(https://researcherdocs.bugcrowd.com/docs/disclosure)
这些是道路规则。了解赏金计划的赏金简介和披露政策非常重要。阅读赏金猎人的方法论
第 6 步)进行黑客攻击
是时候开始黑客攻击了!当您是新手并开始使用时,最好不要尝试破解最流行的漏洞赏金计划。试图入侵 一些专属SRC或者其他大公司可能会让初学者感到沮丧,因为这些公司非常受欢迎并且更安全,因为它们收到了许多错误报告。
选择小站或者公益程序
相反,将注意力集中在可能被其他人忽视的漏洞赏金上。这些通常是 bug 赏金,不支付奖励,而是在平台上提供荣誉点数。这些“仅限荣誉积分”计划是开始使用漏洞赏金并向平台展示您的技能的绝佳方式。在您向平台提交了一些有效的错误后,即使它们只是荣誉奖励,您也可能会开始收到私人赏金计划的邀请。私人赏金计划仅受邀请且仅限于少数人,这意味着竞争较少且成功发现错误的可能性更高。
第 7 步)始终学习和建立网络
正如我们之前提到的,黑客是一个终身学习的旅程。这就是让这个领域如此令人兴奋的原因!总是有新的文章和演示文稿可供学习,在会议或当地聚会上会遇到有趣的人,以及寻求新的机会。
Bug 赏金是进入 InfoSec 社区并建立您的职业生涯的绝佳方式。使用漏洞赏金作为赚取额外收入、提高技能、结识新朋友甚至完善简历的一种方式。
请记住,始终表现专业并善待他人。这是一个小社区,我们喜欢互相照顾,你永远不知道你会遇到谁!
注:bugcrowd上2016年的一篇文章,阅读量大。地址:https://forum.bugcrowd.com/t/researcher-resources-how-to-become-a-bug-bounty-hunter/1102
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
587
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
