如何挣钱作为一个臭虫赏金猎人

你是一个程序员还是一个想从中赚点钱的黑客？臭虫赏金狩猎可能是你的完美工作。...

你是一个程序员还是一个想从中赚点钱的黑客？臭虫赏金狩猎可能是你的完美工作。

什么是臭虫赏金狩猎(bug bounty hunting)？

Bug赏金搜寻是为了发现软件、网站和web应用程序中的漏洞。大公司的安全团队没有足够的时间和人力去消灭他们所有的漏洞，所以他们向私人承包商寻求帮助。基本上，你使用你的工具来破坏东西（或破坏东西），写一份漏洞报告给发放奖金的公司，然后得到报酬。一些黑客仅仅靠猎杀虫子一年就能赚上万美元。

然而，要做到这一点，你至少需要知道一些基本的编码和计算机技能。幸运的是，我们有大量的资源来帮助您入门，而且编码也很容易自学。也就是说，如果你不知道这些东西是什么意思，你读下去，臭虫赏金狩猎可能不适合你。

做些调查，拿上你的工具

一旦掌握了基本的编码，就需要深入研究web应用程序及其工作方式。幸运的是，有大量的资源可以为你指明正确的方向。开始阅读：

网络应用黑客手册（30美元）
OWASP测试指南v4

然后找到合适的工具。您需要：

Kali Linux（免费）
打嗝套房（每年349美元，但非常受欢迎）
OWASP Zap（打嗝套件的免费替代品）

然后看看OWASP WebGoat实验室，在那里你可以练习发现web应用程序中的bug和漏洞，还可以看看googlebughunter大学。他们有很多很好的信息bug搜索和如何写可靠的漏洞报告，将得到你的报酬。像Bugcrowd和HackerOne这样的网站也可以在这方面提供帮助。

找到臭虫悬赏清单，然后去打猎

一旦你掌握了知识和正确的工具，你就准备好寻找一些错误来解决。公司通常会在其网站的某个地方有一个链接，提供bug奖励，但很难找到。你最好去查看一个赏金板，那里的黑客正在阅读公开披露的漏洞报告，并在每日更新一个活动列表。像这样：

哈克龙
臭虫群
漏洞实验室
火力悬赏

HackerOne还提供披露帮助，在这里黑客可以向任何组织报告任何漏洞。即使组织没有漏洞计划，他们也可以联系他们并提交报告。它也有助于加入一个臭虫赏金猎人社区论坛，像上面列出的那些网站，这样你就可以随时了解最新的赏金和贸易工具。为了猎杀虫子，你还必须愿意边走边不断学习。Web应用程序和bug搜索工具在不断更新，所以如果你想把事情做好，你就必须全力以赴。

最新消息：HackerOne的一位代表联系到了他们的“披露援助”计划。以上文本已更新为此信息。