获取首个漏洞赏金前我犯过的错误

很多漏洞赏金猎人都带着或高或低的期望进入这个领域。不论期望如何，我们都曾经历过想要将这项非凡技能作为职业的阶段。有些人仍在路上，有些人成功了，有些人放弃了。

这不是一篇教你如何发现XSS或SSRF的技术文章，而是关于几乎所有仍在努力获取首个赏金的人都会共鸣的内容。这些是我犯过的错误，相信你也在犯。我的目的是让你意识到这些错误，并相信自己绝不比其他黑客在技术知识上逊色。

以下是我犯过的错误，意识到这些问题后仅一周我就获得了首个赏金：

你其实不在真正狩猎（把侦察当作狩猎）

相信我，当你以为自己在狩猎时，很可能你并没有。对目标进行侦察、通过Google dorks、GitHub dorks、subfinder、waybackurls、gau等工具发现信息，对403目录进行绕过测试，运行openredirex等被动工具——这些只是黑客工作的一部分，但不是真正的黑客行为！

初学者常犯的错误就是把侦察当作黑客行为。你应该在后台运行Burp，将目标添加到范围中，然后寻找各种漏洞：IDOR、CSRF、SSRF、RCE、ATO、CORS等。

对于初学者，如果你能同时保持侦察和手动狩猎，我很赞赏。但如果你无法保持这种平衡（像我一样），那就应该放弃部分侦察，更专注于手动狩猎。如果仍然需要侦察，我建议只进行子域名枚举和GitHub dorking。

工作时分心

在狩猎目标时，我经常被Twitter帖子、Medium故事等分散注意力。如果你也有这种情况，我建议：在日常生活中固定一段时间来收集、阅读或观看这些资源，不要在那个时间狩猎。完成后，锁定自己开始狩猎。

如果需要帮助屏蔽这些干扰，可以使用ublock、blocksite、webhook等工具。如果你正在专注于"No-fap"，可以尝试Cloudflare的DNS服务器如1.1.1.3和1.0.0.3。

忽略功能测试

当你参与一个项目时，必须确保检查并测试了程序的每个功能。我认为大多数初学者甚至不知道，大多数时候我们选择的项目并不像我们希望的那样"新鲜"。公共项目通常已经运行了所有基本的漏洞评估工具，并由内部安全团队进行了渗透测试。

这就是为什么黑客发现关键漏洞时，通常是因为某个功能没人测试过，或者是没人想到的关键逻辑。你必须成为批判性思考者，创建场景并相信自己的黑客直觉！

盲目复制粘贴

看到brutelogic或其他猎人精心制作的XSS载荷，然后到处喷洒，这确实很诱人。相信我，我们都经历过。但盲目复制粘贴载荷不会有任何区别。

我知道我们可以按照不同逻辑暴力破解载荷，但问题是我们初学者不理解在哪里以及如何暴力破解载荷的逻辑。

例如，如果网站使用Angular JS框架，我只暴力破解适用于Angular JS的载荷。如果目标使用DOMPurify，我会使用专门绕过DOMPurify的XSS载荷，如使用</style>或</title>等标签。不仅是XSS，如果要用Nuclei自动化测试，我可能只使用与网站基础设施相关的模板。如果网站使用Apache Tomcat，我只使用该服务的模板。

没有相关知识就盲目复制粘贴不仅浪费时间和精力，还会让你很快精疲力尽。如果不走运，你的IP还可能被许多目标封禁——这就是发生在我身上的事情 :)

缺乏自信

缺乏足够的自信不仅会让你内心痛苦，还会让你对目标充满怀疑和消极情绪。这会扼杀你持续狩猎的灵感。

正因为自我怀疑，我见过许多猎人（包括我自己）不想从解决Portswigger、Try Hack Me、Hack The Box等实验室过渡到实际的漏洞赏金。他们陷入为漏洞赏金做准备的循环中，却没有意识到自己已经准备好了，只需要开始行动。

我听过一句很好的话：“大师和初学者之间的唯一区别是，大师失败的次数比初学者尝试的次数还要多。”

顺便说一句，这不仅适用于漏洞赏金，也适用于生活的每个方面。世界上已经充满了对你不友好的人，如果你也是其中之一，那么生活对你来说会很艰难。

对自己好一点，对自己仁慈一点。

祝狩猎愉快！