我最近在11月开始涉足漏洞赏金狩猎，当时我刚学完基础知识以及最常见的漏洞类型。和每个新手一样，我有一个简单但艰难的目标：

在最初的12小时内，至少找到一个有效的漏洞。

于是，我开始在HackerOne上创建一个黑客账号，并进入了这个战场。

作为初学者，你们也应该根据自己的需要在相关网站上创建账号。例如，为了获得高额报酬的好机会——HackerOne；为了快速升级——其他平台，等等。这能帮助你更快地跟上自己的目标，而且你只需要先尝试一下，以了解网站的界面和运作方式。相信我，仅此一项就会成为你获得的最有价值的情报之一。

我决定从一些大公司开始，例如首先选择 crypto.com。我选择大公司是因为它们的攻击面大，相应的报酬也高。一开始感觉很兴奋，但在尝试了不同的端点、测试参数并四处摸索了几个小时后，没有任何进展。每次测试都显示安全。每个想法都很快破灭。

尽管如此，我并不想这么早就放弃，所以我接着转向了Epic Games。选择Epic Games是因为它也有很大的攻击面可以浏览。但情况依旧。我投入了足够的时间，尝试了多种角度，但再次……运气不佳。

此时，截止时间越来越近，压力感很真实。当你是个新手时，从一个目标切换到另一个目标几乎感觉像是在逃跑，但我给自己设定了个人截止时间：无论如何，今天必须找到一个漏洞。

于是我转向了我的第三个目标——那个后来证明是幸运目标的目标：Notion Inc。这是因为Notion是一个比较新的网站。

这一次，感觉不一样了。我放慢了速度，更仔细地探索应用程序，并关注那些初学者通常忽略的小细节。

然后，它发生了。

在检查一个与元数据相关的特定区域时，感觉有些不对劲。一个本不应该可见的小细节……却可见。我停下来，再次检查，然后又检查了一次。当你作为初学者发现一个漏洞时，你需要检查并确保它是一个真正的漏洞，所以我一步一步地多次验证了它。

而每一次，结果都是一样的。

这是一个元数据泄漏。一个真实的漏洞。

在我准备报告的时候，我的双手因为达成目标而高兴得发抖。我仔细检查了报告的每一行、每一张截图、每一个解释——因为每个初学者都必须明白这一点：

验证就是一切。

最后，我提交了它。

就是这样——第一个漏洞，在开始狩猎的12小时内找到了。

给所有刚开始的人的建议：不要在一个目标上停留太久，不要害怕切换目标，也不要低估小细节。有时，最微小的疏忽会成为初学者最大的突破。

我的旅程才刚刚开始，但这第一个漏洞教会了我一个简单的道理：

成功并非来自发现最大的漏洞——它来自于付诸行动、保持好奇心以及拒绝放弃。

所以，祝所有新手和同行猎手们好运。尽力而为，并记住你的初衷。在失利或感觉停滞不前的时候，你的目标可能会以其他任何事物都无法替代的方式引导你前进。不要犹豫去切换网站或探索新添加的程序——它们的攻击面会是新鲜的，而新鲜的面会带来新的机遇。