国际惯例,给兄弟们看图
这是我们师傅挖国外SRC的部分赏金截图
就问你!挖国外漏洞赚美金香不香!
现在国内SRC越来越卷了,越来越多的白帽子开始挖海外漏洞赚美金。海外SRC真的比国内赏金高很多,不说高危漏洞,拿中危漏洞来说,国内一个中危漏洞300~500人民币,而国外平台大部分厂商中危都有300~500美刀(折合人民币2000~3500左右)!妥妥抵上国内一个高危漏洞了啊!
国外SRC相比于国内,优势还是很明显的,比如:
1、 在国内赚美金,赏金更高,海外SRC收的漏洞类型更多;
2、 审核速度更快,忽略的情况更少;
3、 因需要一定的竞争门槛,所以竞争者更少!
国外SRC玩法
当然,国外SRC也有自己的玩法,比如:
1、缓存服务器和CDN的引入可能会引起缓存相关的问题!
2、不同实践之间的差异化造成的问题,ChatGPT路径解析差异导致缓存欺骗帐户接管,相信这也是未来海外src关键思路之一!
3、反向代理,负载均衡的错误配置可能会导致403的绕过和某些奇怪的SSRF!
4、前端安全往往相较之下并没有那么受到重视,但基于Electron的桌面应用的发展这种偏见慢慢被打破!
5、无头浏览器直接将网页渲染成PDF的SSRF,以往只能弹窗或者弹Cookie的XSS现在摇身一变成为SSRF这样的高风险漏洞!
如果你感兴趣想要尝试的话,这里推荐给大家一些方法:
1、练习portswigger.net的靶场,非常棒的资源,通过这个靶场你能学到很多基础知识,做到快速扫盲
2、研读HackerOne的报告,HackerOne 上面的报告都能免费阅读到(6k+报告)
3、研读pentester.land 上面的文章,学习他人的经验
4、和有经验的人交流,给自己设定目标持续进步
进群学习
不过,以后海外SRC的思路只会更刁钻,对于刚开始进行海外SRC挖掘的人来说,学习的时间成本无疑很高,所以我们建了一个海外挖洞交流群,邀请了HackerOne中国区2024年榜第三的大佬给分享经验,帮助大家一起学习,进步,暴富!
欢迎大家加我进群!
同时备注“信安404”
可得大佬亲自总结的海外挖洞攻略一份
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...