沉寂了半年,今夜无眠,忽而注意到本号突然出现了些许关注量。心想,不如就写(shui)一篇吧,于是乎,便有了以下归纳总结,这些是我转行全职做漏洞赏金猎人半年来的心得,其中要领恐怕是经历过的人才能深有体会。
注:本篇幅不做技术探讨,且没有0day。
1.卸载一切扫描器,仅保留辅助挖洞插件。
2.心态决定了能否出洞,因此心态不好时,大可去钓鱼,转移注意力。
3.多阅读开发的代码,尽可能掌握开发的思维。
4.细心观察每一个请求,每一个返回。
5.学会接受一个网站没有漏洞的现实。
6.对新测试目标永远保持热情。
7.记录测试笔记是整合逻辑重要方式。
8.大胆假设,努力论证。
9.永远不要寄望捡nday,百害而无一利。
10.手工测试乃一切成功之要领,勿忘!
结语:成长是艰难而又惊喜的过程,三分天注定,七分靠打拼。
以上,如有不同观点,皆可一笑。
原文始发于微信公众号(森柒柒):如何提升漏洞挖掘实战经验?我给自己十点建议。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论