what Bugcrowd?
类似于360补天等众测平台。
-
bugcrowd大学
类似于漏洞银行推出的开源教学资源。 -
使用指南(网页直接谷歌翻译)
研究员researchers:指的就是我们白帽子。
注册:QQ的国际板邮件Foxmail就可以注册成功。绑定到自己的QQ邮件会非常方便。
不要害怕英语,我连helloword都记半天,关键是可以谷歌翻译解决的问题为什么要记,与你们同在:) -
核心思维(如果你的知识付费,几万交在了靶机实战上面也算是物有所值了。自己搞不定千万不要犹豫钱,它只是等价交换的货币,交换了资源以后会回来更多。但也不要自己啥都不了解,入了骗子的套,到底谁在撒谎?你是分不清楚的。自学几年增加判断力再知识付费。)
1.开始阅读(看书与视频)2.靶机实战 3.阅读别人文章分析的POC与YouTube结合观看实验 4.逐步确定好实战中的工具集 5.将重心放到那些边缘,低危的漏洞上面,成功发现漏洞的可能性更高。(大公司有顶级黑客帮他们测试)
参考资料:
官网:https://www.bugcrowd.com/hackers/bugcrowd-university/
bugcrowd:https://www.youtube.com/bugcrowd
github库:https://github.com/bugcrowd/bugcrowd_university
社区论坛:https://forum.bugcrowd.com/c/ask-a-hacker https://forum.bugcrowd.com/
在线实验室:https://www.hacksplaining.com/lessons
渗透实验室:https://www.amanhardikar.com/mindmaps/Practice.html
漏洞报告:https://forum.bugcrowd.com/t/researcher-resources-bounty-bug-write-ups/1137
白帽子资源,教程:https://forum.bugcrowd.com/t/researcher-resources-tutorials/370
梦幻般的POC与技术文章集合:https://www.reddit.com/r/netsec/
YouTube推荐订阅JackkTutorials:https://www.youtube.com/user/JackkTutorials/videos
DEFCONConference演讲:https://www.youtube.com/user/DEFCONConference/videos
Hak5侧重于硬件黑客(i春秋初期长期转播它的视频):https://www.youtube.com/user/Hak5Darren/playlists
github真香主题系列:https://github.com/onlurking/awesome-infosec
推特关注资源集:https://twitter.com/Bugcrowd/lists/security-researchers/members
DEFCON赏金猎人方法论:https://github.com/jhaddix/tbhm https://www.youtube.com/watch?v=VtFuAH19Qz0&feature=youtu.be