有好几个粉丝问过我一个相同的问题,为什么你不去挖src赚外快。
首先我一句,不管是什么行业,什么工种,都存在二八定律的。
2013-2018年期间,除了工作之外,我有大部分的时间在挖漏洞赚外快,这5年多的时间里,我有得到过最高单个漏洞5000美金的奖励,在国内外漏洞赏金平台提交的大大小小漏洞加起来总的奖金也并不是很多,大概在十几万人民币左右吧,但提交漏洞的总数还是满恐怖的,因为有些src平台账号密码都忘记了,我现在也不好做精确的统计,毛估有1000+个漏洞了吧,其中被审核忽略的差不多占了2-3成。
那我为什么不继续坚持下去呢?
行业在进步,有漏洞的系统越来越少,找漏洞的时间成本越来越高。
2019年后从安全公司转到互联网企业,而互联网企业的安全人员最重要事情并不是做漏洞研究,更多的做安全保障,说的直白一点就是在安全公司主要做攻,在甲方企业主要做防。互联网甲方和事业单位甲方是完全不一样的,互联网甲方非常的卷,要参与各种项目的安全评审,要搞信息安全体系建设,要搞安全左移,要搞安全提效,要搞devsecops,要做数据安全合规,移动客户端隐私合规等等。在互联网甲方要被动的干很多事情,很多时候一个周期内要并行做多件事情,比如Q1要做devsecops安全工具的研发,但是在Q1这3个月中又会冒出其他的安全需求,比如有新项目要做安全评审,比如项目正式上线前要做安全测试,所以自然就没有挖漏洞赚外快的精力了。
2023年失业了3个月,这3个月我也花了一些精力去赚漏洞赏金,在说实话,收入甚微。我举个具体的例子吧,我对一个容器服务平台进行测试。很多做java开发的人应该有所了解,在maven编译的时候是可以执行命令的,只需要在pom.xml中加入一个plugin
<plugin><groupId>org.codehaus.mojo</groupId><artifactId>exec-maven-plugin</artifactId><version>1.6.0</version><executions><execution><id>run-script</id><phase>validate</phase><goals><goal>exec</goal></goals></execution></executions><configuration><executable>bash</executable><arguments><argument>-c</argument><argument>ls</ argument></arguments></configuration></plugin>
我将上面的plugin配置到我的pom.xml,并且上传到容器平台进行CI/CD构建容器,这个过程会对java项目进行编译打包。这个过程中,打包机会将日志打印,因为我执行了ls命令,所以日志打印中有打包机目录信息。到这里就等于可以对打包机进行目录遍历了,之后我将<argument>ls</argument>改为<argument>env</argument>,获得了打包机的环境变量,其中环境变量中包含了maven配置文件路径,gitlab管理员账号密码。
有gitlab管理员账号密码,我可以操作容器服务平台所有用户的代码仓,比如删除他们代码或者注入后门。
有了maven配置文件,我可以进行maven组件投毒。
我为什么要举这个例子?因为在我看来,这是对整个容器服务平台所有用户都有影响,且极具破坏力的漏洞。我申请的是严重漏洞,但审核员说他们内部之前就已经发现了这个问题,只不过一直没修而已。正常情况下,这个漏洞至少是按照最高奖金发放的,最后只给了5000块。测试这个平台前后花了我累计大概有50小时时间,真的心累,提交漏洞后还需要不断和漏洞审核进行沟通。
说了这么多,我只是想表达几个意思
现在挖漏洞的人越来越多,竞争很大。
现如今做漏洞赏金猎人的投入回报率很低。
我有其他更重要的,更长远的规划,不想看眼前这点利益
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...