高能动性黑客

2025年3月28日

乔治·麦克刚刚发布了一篇名为《高能动性》的新文章。我之前在克里斯·威廉姆森的播客上见过他，但这次他更深入地探讨了这个概念，并发布了这篇精彩文章。感谢archangel推荐阅读。

在漏洞赏金领域，高能动性是一种超级强大的武器。漏洞赏金主要关乎漏洞发现，但高能动性可以成为你表现的倍增器。

高能动性侦察

请求扩大测试范围：有时你可能获得比初始范围更多的访问权限。联系项目负责人，询问是否可以探索其他区域。更大的范围意味着更多机会。

申请额外凭证：通常，拥有更多访问权限能带来更多漏洞发现。在有机会时，礼貌地询问是否能获得其他系统的额外凭证。

阅读文档：大多数猎手不阅读文档。但如果你读了，就会获得巨大优势。

策略性反驳：如果收到的赏金低于预期，冷静地要求澄清严重性等级。理解他们的观点可以帮助你争取更高奖励，或至少减少对赏金的不满。如果你认为自己的发现值得更多，提供额外证据或与获得更高赏金的类似漏洞进行比较。保持尊重但坚定。

高质量报告：如果你撰写的报告清晰展示了影响并包含修复步骤，获得更高赏金的概率会大大增加。

寻求反馈：在提交最初几份报告时，请求反馈以了解如何改进未来的报告。

协作：我认为每个漏洞猎手应该向其他黑客发送比现在多5倍的线索/想法。漏洞赏金不是零和游戏。你的线索通常不会直接带来赏金。但如果你分享许多线索，你会发现最终会获得更多总赏金。

请求活动邀请：不要犹豫向黑客朋友请求活动的+1邀请。

向项目负责人申请邀请：如果你经常攻击的公司正在举办实时黑客活动，在报告中联系项目负责人。表达你的兴趣，询问他们是否可以发出邀请。

漏洞赏金中的高能动性是关于影响结果朝有利于你的方向发展。它关乎提出正确问题、寻找机会，以及在必要时温和地提出异议。希望这篇文章能激励你在黑客活动中展现更高的能动性。

注册我的邮件列表，了解我发布更多类似内容的时间。我还在Twitter/X上分享我的想法。