27岁程序员转职赏金猎人：一个漏洞10万美元，比工资香多了

顶级黑客的赏金平均收入是同一国家软件工程师平均工资的 2。7 倍。哪怕他们当作业余工作来做。所有人群都可从中受益匪浅，尤其是当他们是兼职的话。当你全职工作时，你需要有一定的连贯性和策略，并知道你的报酬如何安排。”

开发人员往往不会考虑他们的应用程序的安全性如何，有时候从安全研究的角度来处理自己的应用程序是有益的。

Wineberg 说，“开发人员了解他们的产品是如何运作的致青春经典语录，但往往不会去测试已部署的生产实例。在我还是顾问的时候，我们经常与开发团队一起工作。如果我们发现一个问题，有时候我们会就这个问题对开发人员进行描述，他们会说，‘不，它不是这样工作的，这不是一个问题。’”

Wineberg 接着说，“我们发现，如果给他们对自己的应用程序进行一些攻击性测试的机会，就像我们在 Bug 赏金计划中对自己的应用进行一些攻击性测试那样，他们就会带着一堆问题离开。如果你是一名开发人员，它可以让你深入了解现实世界中的事物是如何运作的。”

5Bug 越来越难被发现，但赏金也在增多

如今，黑客行业发生了翻天覆地的变化。要在大型互联网公司中发现 Web 应用程序的漏洞，难度在增大，但 Bug 赏金和 Bug 报告计划也变得更加常见，公司也更愿意使用专业的渗透测试（Penetration Testing，也称为 Pen Tensting）公司的服务。渗透测试公司，就像他们所说的那样，帮助定位客户系统中的漏洞，其运作方式与传统的咨询公司类似，工作人员专门负责寻找安全漏洞。

Bug 赏金平台的运作方式有所不同。这些平台更像是一个市场，为自由 Bug 赏金猎人和对他们的服务感兴趣的公司牵线搭桥。它们通过让公司接触大量黑客来吸引公司，反过来又通过提供愿意为其服务付费的公司名单来吸引黑客。Bigcrowd 于 2011 年作为世界首家 Bug 赏金平台推出，武汉海军工程大学之后很快就有很多其他平台纷纷效仿。

Bugcrowd 安全运营总监 Grant McCracken 说：“众包安全的理念是，如果你进行渗透测试，通常会有一个人做评估。如果你有两个人进行评估，你可能会发现这样做比一个人能够发现更多的东西；而如果有 500 个人的话，那就是指数级增加了，可不是仅靠一两个人发现所能比的。所以说，它是在利用大众的力量和零工经济（gig economy）的可扩展性来满足网络安全领域的需求。”

Bug 赏金平台需要一段时间才能为主流所接受。Katie Moussouris 是另一个早期的 Bug 赏金平台 HackerOne幼儿园周计划表内容 的前首席政策官，她在帮助其项目发展的过程中发挥了重要作用。她甚至成功与美国国防部合作，在 2016 年发起了试点 Bug 赏金挑战赛，名为“Hack The Pentagon”（入侵五角大楼）。逾一千名黑客参与其中，总共发现 138 个有效的安全漏洞。美国政府为此支付了大约 7。5 万美元。该试点被国防部认为是一次成功的概念验证。

挑战赛结束后，时任国防部长 Ash Carter 说：“我们对某些系统和网站的关注者越友好，我们就能发现越多的漏洞，就能修复越多的漏洞，我们就能为我们的战士提供更多的安全保障。”随后，该试点项目又陆续发起了入侵陆军、入侵空军、入侵海军陆战队的黑客挑战赛，以及持续的漏洞披露计划，任何人都可以报告他们发现的漏洞。

在这些努力的推动下，以及在越来越重视安全防范措施的趋势下，道德黑客的行为已得到更广泛的接受。Bug 赏金计划和雇佣黑客的公司现在将他们称为“安全研究人员”，听起来更体面。随着这一举动成为主流，使得更多的人开始尝试涉足 Bug 赏金猎人。如今，Bugcroud 平台上已经列出了大约 14 万名研究人员。

与此同时，公司越来越重视安全，这使得查找 Bug 变得更具挑战性。提供渗透测试服务的咨询公司 Rapid 在其 2019 年度调查报告称，当渗透测试员被聘请从公司网络外部测试公司的系统时，他们只有 21% 的时间能够侵入网络。成功攻击公司网站的几率更小，导致公司系统总访问率只有 3%。

这些数字看上去，可能离理想中的零相去甚远，但却令人鼓舞。因为渗透测试人员都是经过严格训练的，能够入侵系统。这对每个人来说都不啻为一个好消息，但这确实意味着在过去十年里，成功发现 Bug 并因此获取报酬的门槛已经提高了。

6热情好客的社区

考虑到参与者众多，安全意识也越来越强，发现 Bug 的难度也越来越大，社区还能受到如此欢迎，着实有点令人惊讶。

Wesley Wineberg 具有网络安全背景，六年来一直从事寻找 Bug 的工作。

Wineberg 称：“通常情况下，如果我向某人求助，或者想要分享一些技巧，人们真的都会对此持开放态度，而且非常友好。”

他解释说，研究人员发现的数漏洞，大多都可以归为几类，这些漏洞可以通过使用广为人知并有详细记录的技术来发现，比如每年的 OWASP 十大最关键 Web 应用安全漏洞榜单上。当然，如果是研究人员自己开发的更复杂、更创新的方法，它就不适用了。

“这里面存在一个平衡点。如果有人拥有别人无法使用的技术，而他们得到了大量的发现并拿到了可观的赏金，那他们就不会真的会去分享太多关于这项技术的信息。”Wineberg 说。

但大多数情况下，人们还是愿意互相帮助的。尽管有越来越多的人在寻找 Bug，但仍然有很多 Bug 等待被人们发现。

Wineberg 说：“每年都有越来越多的人在做 Bug 赏金猎人，但每年的目标也会越来越多。如果有人想在某个目标需要帮助的话，我会假设这个目标和我这周的目标不一样，只是因为可供选择的目标实在太多了。”

除了研究人员之间互相学习之外，对于刚刚入门的新手来说，也有很实习调查报告多资源可供学习。那些掌握基础知识的人可以有目的地下载不安全的网络应用程序（因为未经网站所有者的明确许可而入侵网站是联邦犯罪），还可以跟随实时黑客教程学习，甚至进行黑客游戏，该游戏旨在让 K-12 年级的学生成为黑客的新秀。

另一个很好的学习方式是阅读研究人员写的有关他们成功经验的博文。2019 年，Tedd东北大学学科评估y Katz 从 GitHub 获得了 2。5 万美元的赏金，这是 GitHub 有史以来最高的赏金，之后，他发布了一份详细的教程，阐述了他是如何发现这一漏洞的。这一漏洞绕过了 GitHub 的授权流程中的检查。

参考阅读：

https://www。businessinsider。in/tech/news/indian-developer-earns-rs-75-lakh-for-finding-sign-in-with-apple-bug

https://builtin。com/software-engineering-perspectives/bug-bounty-hunting

https://www。bleepingcomputer。com/news/curity/100-million-in-bounties-paid-via-hackerone-to-ethical-hackers/