我从哪里开始漏洞赏金？今天我们来学习一件事

开始漏洞赏金不需要工具——只需要好奇心和先阅读规则的勇气。

😅 “我不是黑客……但我很好奇”

这就是我当时的心态。

我没有网络安全背景。也不是什么终端高手。我只是不断在想：

“人们到底是如何在网站中发现漏洞的？这合法吗？初学者能做到吗？”

于是我做了我们大多数人都会做的事——搜索YouTube、Reddit和随机博客文章。结果？更加困惑。

这么多平台：HackerOne、Bugcrowd、Synack 这么多工具：Burp Suite、recon-ng、nuclei 还有可怕的缩写：XSS、IDOR、SSRF、CSP、CORS……

就在那时我决定： 我不打算尝试学习所有东西。我每天只学一件事。

🎯 今日课程：什么是"测试范围"？

在漏洞赏金中，测试范围就是一本规则手册。

它定义了允许你测试的内容——以及禁止测试的内容。

来自真实项目的示例： “测试范围内：*.example.com 测试范围外：api.example.com、移动应用、内部工具”