Question

在开始介绍如何挖掘网站应用程序漏洞之前，我们先来了解一下漏洞悬赏项目。我们经常被问到的问题：“我怎样才能在这些训练后继续学习？”我的建议是针对真实的应用系统。您可能整天在训练、做实验，但是如果没有真实的目标环境，您很难提升能力。

但有一点需要注意：平均而言，训练大约需要花费 3～6 个月的时间，之后您才能够持续发现漏洞。我们的建议：不要感到沮丧，与其他漏洞挖掘同行并肩前进，同时要经常挖掘旧程序的漏洞。

常见的漏洞悬赏项目是 HackerOne、BugCrowd 和 SynAck，还有很多其他的项目，这些项目可以提供 0～2 万美元甚至是更多的奖金。

我的很多学生发现，查找漏洞的过程令人望而生畏。漏洞悬赏项目需要您深入了解项目，每天花费几个小时，并且要了解如何利用“第六感”来挖掘漏洞。通常来说，漏洞挖掘一个好的起点是从无赏金漏洞悬赏项目（专业人士不会在这里看）或者像 Yahoo 这样的大型、成立时间较长的网站开始。这些类型的站点往往具有大量的网络地址空间和很多传统的服务器。正如之前的书中所提到的，渗透测试规划很重要，漏洞悬赏项目也不例外。许多项目指定了可以做什么和不可以做什么（如不能扫描、不能使用自动化工具、哪些域名可以被攻击等）。有时您很幸运，项目允许对* .company.com 开展漏洞挖掘，但有时可能只限于一个域名。

让我们以 eBay 网站为例，该网站有一个公开的漏洞悬赏项目。漏洞悬赏项目明确了指南、可以攻击的域名、有效的漏洞类型、禁止攻击的目标，以及如何报告和确认，如图 3.1 所示。

图 3.1

如何向公司报告漏洞通常与发现漏洞同等重要。我们都希望能够为公司提供尽可能详细的信息，包括漏洞类型、严重性/关键性、漏洞产生的步骤、屏幕截图，甚至是漏洞触发样本。如果您需要创建完善的报告，请查看报告生成表单，如图 3.2 所示。

图 3.2

在运行自己开发的漏洞利用程序之前，对于漏洞悬赏项目，有一点需要注意的是，我看到在一些案例中，研究人员在发现漏洞后，后续操作已不局限于验证漏洞。

举例说明，在找到 SQL 注入漏洞后，转储整个数据库，在接管子域名后用个人认为有趣的内容修改页面，甚至执行远程代码漏洞后，在生产环境中横向渗透。上述行为都有可能导致法律纠纷，并可能让联邦调查人员出现在您的家门口。因此，请您做出最理智的判断，确定项目的范围，并记住如果感觉想要做的事是违法的，那么它很可能就是违法的。