高能动性黑客

2025年3月28日

George Mack最近发布了一篇名为《高能动性》的文章。我之前在Chris Williamson播客上见过他，但他这次更深入地探讨了这个概念，并发布了这篇精彩文章。感谢archangel推荐阅读。

在漏洞赏金领域，高能动性是一项超级强大的武器。漏洞赏金主要关乎漏洞发现，但高能动性可以成为你表现的倍增器。

高能动性侦察

要求扩大测试范围：有时你可能获得比初始范围更多的测试权限。联系项目负责人，询问是否可以探索其他区域。更多范围意味着更多机会。

请求额外凭证：通常，拥有更多访问权限能带来更多漏洞发现。在有机会时，礼貌询问是否能获得其他系统的额外凭证。

阅读文档：大多数猎人不阅读文档。但如果你读了，你将拥有巨大优势。

策略性反驳：如果收到的赏金低于预期，冷静地要求澄清严重性等级。理解他们的观点可以帮助你争取更高奖励，或至少减少对赏金金额的不满。如果你认为自己的发现值得更多，提供额外证据或与获得更高赏金的类似漏洞进行比较。保持尊重但坚定。

高质量报告：如果你撰写的报告能清晰展示影响并包含修复步骤，你获得更高赏金的可能性将大大增加。

寻求反馈：在提交最初几份报告时，请求反馈以了解如何改进未来的报告。

协作：我认为每个漏洞猎人都应该向其他黑客发送比现在多5倍的线索/想法。漏洞赏金不是零和游戏。你的线索通常不会直接带来赏金。但如果你分享大量线索，你会发现总体上会获得更多赏金。

请求支持：不要犹豫向黑客朋友请求对活动的支持。

向项目负责人索取邀请：如果有你经常攻击的公司举办实时黑客活动，在报告中联系项目负责人。表达你的兴趣并询问他们是否能发出邀请。

漏洞赏金中的高能动性是关于将结果导向对你有利的方向。它关乎提出正确问题、寻找机会，以及在必要时温和地提出异议。希望这篇文章能激励你在黑客活动中展现更高的能动性。

注册我的邮件列表，了解我发布更多类似内容的时间。我还在Twitter/X上分享我的想法。