经验分享丨自学多久能达到挖漏洞的水平,漏洞奖金有多少?
很多关注i春秋的朋友会在论坛、微博、知乎、今日头条等媒体平台点赞我们分享的技能知识,也会私信我们在学习过程中遇到的疑难问题,今天我们开设了春秋问答版块,定期来为大家答疑解惑,希望可以为你点亮一盏网安路上的“指明灯”。
网友留言说:对网安技术很感兴趣,想要利用业余时间进行自学但又不知道要学多久能达到挖漏洞的水平,私信i春秋想寻求一些学习建议,以及了解挖洞奖金有多少?
1、挖洞收入
我们先列举几个2021年i春秋与多家SRC联合众测活动中的漏洞奖励。
每一期联合众测会根据不同的SRC和活动力度大小设置不同的奖励标准,通常单个漏洞最高奖励会在1W-10W之间。
审核人员也会根据提交的漏洞进行评判,通常分为低危、中危、高危及严重四个等级,不同漏洞等级对应不同奖励,几百到几万的都有。
总的来说,如果你是利用业余时间来挖洞,那么这笔副业收入也是相当可观的。2022年,i春秋会继续定期举办众测活动,感兴趣的小伙伴可加入春秋云测(https://zhongce.ichunqiu.com/),这里不仅众测项目多,赚取丰厚奖金,还能积累经验,提高实战技能,结识更多技术大牛,是非常靠谱的众测平台!
PS:春秋云测会不定期上线测试项目,只有完成注册才能随时接收项目动态。
2、自学时长
自学多久能达到挖漏洞的水平?
没有确切的数据可以告诉我们只要学习几天或者几个月就可以挖到漏洞,因为这个存在多方面因素影响。
自身因素
挖掘漏洞首先要掌握相应的网安技术,之前有没有接触过网络安全?有没有编程基础?自学效率如何?每天可以用来学习的时间有多少?有没有老师辅导?这些都会影响你的自学时长。
知识框架
网安技术涵盖了普通开发岗的方方面面,包括编程语言(Python、PHP、JavaScript这些都要了解)、计算机网络基础知识、漏洞挖掘内容,渗透测试工具等,这些都需要掌握。
现实环境
即使你现在已经具备了挖洞技能,在靶场能挖出几个不错的漏洞,但在实际场景中,产品都有专业人员维护,都有着过硬的技术,靠蛮力是挖不出来的,你需要了解整个产品的运营过程,哪些点可能隐藏漏洞,顺着这条思路往下走才有可能挖出漏洞。
越是一线互联网企业的漏洞越难挖,前期可以从一些不知名的小网站开始挖起。
3、经验分享
月神-团队负责人,擅长挖逻辑漏洞。
我觉得在测试过程中一定要细心,尤其逻辑漏洞,一定要提前充分了解该项业务,做好信息搜集工作,这样在测试时才能做到不遗漏。
工作和学习会经历各种失败与挫折,我们要学会不断的总结、完善。其实在这个领域里,很少有人可以做到大满贯,把Web、CTF、APP、逆向、工控等全部涉猎,所以不忘初心,坚持自己最初的选择方向,坚定的走下去,相信各位白帽伙伴会越来越好。
J0o1ey-多次参加各大SRC众测活动。
罗马不是一日建成的,无论是漏洞挖掘还是红队实战学习,都不是一蹴而就的,需要十年饮冰的坚守。知识面决定了你能看到的攻击面,知识量决定了你的杀伤量,万丈高楼平地起,一定要注重基础知识牢固,切莫急于求成。
同时在漏洞挖掘上,一定要注重理论与实战相结合,你会惊喜的发现昨天在文章上看到的手法,刚好今天就可以用上,这是一件非常美妙的事情。
最后,希望大家能认真阅读《网络安全法》,渗透之路千万条,企业授权第一条,大家一定要坚守初心,不要为蝇头小利所动!尽量在各大SRC或者众测平台按照测试说明来进行漏洞挖掘,这样才是最安全的,同时也名利双收的好选择!
谢公子-省级攻防演练个人/团体冠军。
对于刚入门的新手小白,我个人觉得最快的学习方法和成长路线就是知道自己要学什么,并且在学习的过程中不断积累自己的所学所得。我们碰到的百分之九十九的问题,都是可以从网上找到解决办法的。
碰到问题的时候,首先自己要想解决办法,而不是一遇到难题,没有任何思考就跑去请教别人,通过自己劳动解决的问题记忆会深刻百倍。
菜菜子-2021年百度杯积分第一名。
分享一个挖洞技巧:多研究API,很多时候看起来官方用API挺安全,但是你拿到手上就会发现漏洞。
多思考业务在获取这个API文档后会如何调用,如果他按照官方文档调用会有什么麻烦的地方,为了避免这些麻烦,他会不会投机去使用一些错误的方式来调用,站在开发者的角度去思考,会挖到很多意想不到的漏洞。
风溯-Day1安全团队成员,擅长挖洞。
挖洞有两点建议:一是细心,二是坚持。其实在漏洞挖掘的过程中是很枯燥又无聊的,这就要看你是否可以沉得住气。
有次挖洞,差不多一周时间颗粒无收,这时我就在想,可能需要去补充新知识了。而不是陷入自我怀疑,我是不是不适合走这条路?我是不是再也挖不到漏洞了?这家厂商做的这么大,怎么可能有漏洞?
请多肯定三连,而不是否认三连。没有绝对完美的系统、程序,任何存在的事物必然会有一定缺陷。如果当时我就放弃的话,也不会有后来的成绩。
最后,希望多和前辈们交流学习一些思路,这样可以借鉴他们的经验,再化为自己强有力的技能。学习、思考、坚持、细心、自信是在这条路越走越顺的捷径。
经验分享丨自学多久能达到挖漏洞的水平,漏洞奖金有多少?相关推荐
- 浙大计算机学院夏令营面试,学姐经验分享丨夏令营面试准备 套路详解!
原标题:学姐经验分享丨夏令营面试准备 & 套路详解! A:哎,小B,我听说夏令营面试很重要,你准备好了吗? B:没有欸,自我介绍.专业知识考核.英语考核什么的感觉好复杂. A:是啊,听说还有什 ...
- Kaggle冠军经验分享丨如何用15个月冲到排行榜的首位
作者 Kaggle Team 中文翻译 Mika CDA 数据分析师原创作品,转载需授权 在最新的Kaggle用户排行榜上,排名第一位的ID是Bestfitting,他本人叫Shubin Dai.他在 ...
- 经验分享丨PMP备考小技巧三则
首先,先浪一下: 参与2019年12月份的考试,很意外考试能够拿到5A,其实我的基础还是比较差的,能够拿到5A纯属侥幸,在此首先感谢清晖远程D班张老师的监督学习.另外与大家分享一下关于考试的一些小技巧 ...
- PMP考试经验分享丨人生很苦坚持很酷,PMP也是
我本科学的金融,研究生学的管理,然后工作是关于公共卫生领域,因为在小型机构,所以项目和传播都在做.在工作的过程中,我渐渐明确自己未来想要成为的样子--一名公共卫生项目官.所以就计划着再考一个公共卫生研 ...
- 游戏建模师经验分享丨必看的13个游戏建模小技巧!
必看的13个游戏建模小技巧! 01 访问任何东西 "作为一名Cinema 4D用户,我会用自己最喜欢的顶级技巧来解决任何问题," 3D World的编辑Rob Redman 说道. ...
- 金融网络安全建设更难了?看一线从业者的“实战”经验分享丨2023 INSEC WORLD
科技云报道原创. 随着十四五时代的大幕缓缓拉开,国内金融安全建设之路进入下半场. 一方面,金融科技大量采用新技术实现业务创新的同时,也给网络安全带来了更多隐性风险. 另一方面,金融行业数字化转型的进一 ...
- 经验分享丨如何准备三维视觉、SLAM相关职位的面试
找工作这件事总是格外牵动我们的神经.哪家大厂开始招人了,哪位同学拿到了超高薪,哪位同学被拒了...总是能毫无悬念地成为朋友圈的热门话题,再高冷的大神都会忍不住点开.阅读. 秋招马上就到了,我们邀请了一 ...
- 经验分享丨40天通过PMP考试心得
2019年9月7日,经过为期四十多天的备考,我参加了PMP考试,这场考试是我有史以来参加的时间最长的一次考试,整个考试持续四个小时,这对于缺乏耐心的我来说是极大的一个挑战. 2019年10月23日,我 ...
- 自学python都需要哪些书-【经验分享】自学Python的学习顺序!附学习资料
自学Python要按照什么样的学习顺序?首先要有一个详尽的学习大纲,对于学习Python的各种知识点要安排的详略得当,做到由易到难,循序渐进,才能长久的坚持学下去.除了基础的理论知识,项目实战也是自学 ...
最新文章
- matlab制作小工具,Matlab有用的小工具小技巧
- OMNet++新建工程及运行
- 机器学习算法-随机森林初探(1)
- java 8 两个list_java集合框架综述
- 关于redis的几点思考
- Linux 端口侦听不到,在linux上,如何在不尝试连接的情况下检查端口是否处于侦听状态...
- lecture7-序列模型及递归神经网络RNN
- 苹果保修期查询_苹果手机维修为什么这么贵?
- 平面图最小割 BZOJ 2006
- 群晖 Docker加速方案
- Hyperledger Fabric1.4安装
- JDK参考文档的使用
- ubuntu 印象笔记
- Firewalld的区域(zone)
- 面向对象 、面向过程
- Improving the Sensitivity of Online Controlled Experiments by Utilizing Pre-Experiment Data
- 如何用VBA从身份证号码中提取性别
- 计算机三维设计大作业模型图,计算机辅助设计大作业(DOC).doc
- GIS坐标系统(二):地理坐标
- 电装实验报告计算机联网,电装实验报告
热门文章
- Git(码云)配置精干版
- python小游戏_课程设计_期末大作业——小游戏合集(含源代码)
- 目标检测Tensorflow:Yolo v3代码详解 (2)
- Chris Hadfield現身《ABS 2020》,各方菁英和THORBOT 雷神量化機器人一同進行深入探討
- 研究杜比视界和HDR近两个月后的各种经验和故事
- MLY -- 14.Evaluating multiple ideas in parallel during error analysis
- 华为发布折叠屏官方适配方案
- cad计算机绘注意事项,CAD打印的基本操作和重要的注意事项
- DS二叉树——Huffman编码与解码(不含代码框架)
- Java版本电子招标采购系统源代码—企业战略布局下的采购寻源