从哪里开始漏洞赏金？今天我们先学一件事

开始漏洞赏金不需要工具——只需要好奇心和先阅读规则的勇气。😅

“我不是黑客……但我很好奇”

这就是我最初的心态。

我没有网络安全背景，也不是终端高手。我只是不断思考：

“人们到底是怎么在网站上发现漏洞的？这合法吗？新手能做到吗？”

于是我做了大多数人都会做的事——搜索YouTube、Reddit和各种博客文章。结果？更加困惑。

那么多平台：HackerOne、Bugcrowd、Synack

那么多工具：Burp Suite、recon-ng、nuclei

还有吓人的缩写：XSS、IDOR、SSRF、CSP、CORS……

就在那时我决定：

我不打算尝试学习所有东西。我每天只学一件事。

在漏洞赏金中，范围就是规则手册。

它定义了你可以测试什么——以及什么是禁止测试的。

来自真实项目的示例：

“范围内：*.example.com

范围外：api.example.com、移动应用、内部工具”

创建账户阅读完整故事。作者仅向Medium会员开放此内容。