Bug 险中求： 作为新手，我怎样才能快速找到不和别人重复的第一个 bug？

（以下HO 代表 “HackerOne”，IP 代表 “InsiderPHD”）

HO：你的昵称有什么故事吗？

IP：我的博士研究方向是内部威胁 (insider threats)，听起来有点像 “inside-a-phd”。

HO：你是如何发现hacking 的？

IP：一些hacker 朋友拽我入坑，不过现在我热爱这个坑！

HO：你 hack 的动机是什么？为什么会通过漏洞奖励来 hack for good 呢？

IP：我喜欢这个挑战，漏洞奖励非常有趣，你有一个谜题，但所有的碎片都是一片空白。你从开发人员做的产品就能知道他是谁，之后想到破解方法。我关注个人使用或者可能会使用的产品，这样我会关注更大的面。

HO：你认为最激动人心的漏洞奖励计划是什么样的？

IP：新设的漏洞奖励计划总是让人激动，而我正在使用的应用如成为目标也是如此。我热衷于有意思的涵盖范围，而正确的涵盖范围非常棒。我钟情于那些马上能让我在脑子里过完整个逻辑的涵盖范围，这样我就能拼凑所有的碎片。

HO：你选择参加漏洞奖励计划的标准是什么？

IP：沟通对我很重要，我希望和乐意与我合作的计划共事。我想要知道某个计划会不会在意我的研究成功并认真对待，同时可以告知漏洞的最新进展情况。我认为 hacking 是一种协作，所以我希望和愿意与我协作的人一起工作！

HO：你一次会关注多少漏洞奖励计划？为什么？

IP：我一次只关注一个。我希望深入研究并成为某个目标几乎是专家的状态。另外，我喜欢探究 bug 位置和想法，当我学习某个目标的时候可以让这些想法驻留。

HO：你如何基于漏洞奖励计划，决定先挖哪种类型的漏洞？

IP：我是 API 的忠粉，所以 OWASP API Top 10 就是我的金科玉律！另外，我阅读了很多 API writeup 和披露信息。于我而言，我会优先挖掘可能存在 bug 的位置并进行研究，而不是专注于某种特定类型的漏洞。

HO：你如何获取最新的漏洞趋势？

IP：推特。真的，竟然那么多的诀窍、会议、建议、writeup 和披露信息都集中在一个地方。虽然真的难以找到合适的人，追随并真的获取到最佳时间线，但一旦你开始，真的看到最好的漏洞猎人给出那么多的免费知识，真的很难挪开腿。

HO：你希望所有企业在设立漏洞奖励计划前，需要了解什么？

IP：虽然很多黑客在系统上来去自由令人气馁，但我们真的是好人，而且我们在意安全！

HO：你认为未来5到10年，漏洞奖励计划的走向是什么？

IP：我认为会出现很多自动化和侦查活动，但我认为我们会看到很多正式化的方法论，人们会集中于最佳方法。我希望看到更多的组织机构能够参与进来，这样我们就会拥有更多更酷的目标来 hack！

HO：你如何看待 hacking 平台上的协作情况？

IP：协作是关键，尤其是在找到难以发现的 bug 过程中更是如此，和别人聊聊天也是好的，会让整个挣扎和猎洞过程变得大不相同。

HO：你的导师或偶像是谁？

IP：这个社区中的很多人真的对我非常重要，他们也是我的导师！Deaken、TomNomNom、Rhynorator 是我的官方导师，而且现在不仅是导师还是我的支持者！Dawnisabel 牺牲了自己的很长时间给我讲 iOS 并教我如何狩猎 iOS 漏洞！

HO：你希望能拥有哪些现在尚未出现的 hacking 资源？

IP：我真的希望看到一款真正的 CTF，有一个 Web 应用但只有一个 bug 还是低危的。这个要求听起来很奇怪而且要求做很多工作，但我认为新手挣扎于 CTF，尤其是习惯于可能只有一个 bug 的 hacking 应用。

HO：如果你有一根魔法棒可以改变 HackerOne 平台上的一个地方，你会选择什么？

IP：我希望看到更多的数据，尤其是关于漏洞计划响应方面的。

HO：你对下一代黑客有什么建议？

IP：开始动手hacking，别总是坐在那里学习，bug 险中求，你将永远感觉没准备好，但你肯定会挖到 bug 的！

HO：你在 hacking 之余，喜欢做什么？

IP：我编织幸运袜！它们是我猎洞的重头戏，观看学习的时候我就会织一对，给它们熏陶熏陶安全知识。

很多人都会说，bug 都被安全专业人员挖走了，我太没竞争力了。我不这样认为。你肯定能找到安全专业人员未发现的漏洞。并非所有的 bug 能够或者将会被以自动化的方式找到。我理解你的焦虑，那么从哪里找到竞争小的漏洞？

我的第一次猎洞生涯始于 Uber 和 Rising 的现场 hack 活动，是和世界上最好的黑客在一起比赛找到的漏洞。这是公开比赛，所以有很多人参加，但我还是找到了4个别人未找到的漏洞。那我们来谈谈这种觉得bug 都被人挖走的焦虑，我不认为是这样，这可能和我自己的经历有关，你可能有不同的想法。我们谈谈一般情况下竞争小的漏洞。

先来谈谈焦虑。很多人很焦虑，认为所有的 bug 已经都被找到了，所以应该学习一点新的或者少有人知的东西，即使现在自己的能力还没达到这个要求也在所不惜。很多人会问我，什么是 HTTP response splitting、缓存投毒等等。不是说这些 bug 不好，问题在于以你现在对 bug 的理解，还不足以 exploit 它。即使你投入大量精力围着 HTTP 缓存投毒，但如果你不理解缓存是什么也枉然。有这种焦虑，那么我的建议如下。

参加公开的还是非公开的漏洞奖励计划？我的建议是非公开。搜寻总奖金支付额较低的漏洞奖励计划。总奖金低说明它是新设的计划。而且还要参加响应迅速的时间，尤其是发放奖金速度快的计划。

参加哪个行业的漏洞奖励计划？实际上关于这个问题的辩论有很多：是选择漏洞奖励计划尚未涉及的医疗行业还是炙手可热的行业如技术公司？我的建议是任何行业均可。如果你可以选择在你已经了解的东西上开始猎洞，那么就选择它。如果目标是你所了解的一款应用，那么你就有一些优势，因为你不必再花时间学习整个商业逻辑流，只要开始 hacking 即可。但是不存在总是竞争小的漏洞奖励计划。你如果对此介怀，可以找找新设立的计划以及某个具体的行业。

应该 hack 哪些资产？我的建议是 hack 移动应用。虽然更难而且设置过程也困难重重，但竞争小。安卓明显更流行而且更容易设置，你完全可以在仿真器上完成所有步骤。总体而言，更少的人在 iOS 上投入精力，你需要一台 iOS 设备并且越狱。如果你能做到，那么你的优势会大增，因为这样做的人少。如果我们以倒金字塔结构来说明的话，那么位于顶端的是 Web，研究这个领域的人是最多的，其次是安卓，最后是 iOS。你不必刻意准备，满足最低要求就够了：不管是通过越狱也好，绕过也好、root 设备也好，只需要让 Burp 运行就可以了。

需要学习哪些技术？需要了解如何在设备或仿真器上运行 Burp（越狱或 SSL pinning 绕过）、如何使用 Frida Trace（可让你了解在 hood 下应用是如何运作的，可参见 Fun with Frida on Mobile）以及如何写 exploit （这是任何漏洞猎人的必修课，而且对于移动应用而言，这是一个巨大的竞争优势，很多人会停留在第一步，到第二步的有50%，而到这一步的人仅有1%）。

查找那种类型的 bug？我推荐 IDORs（不安全的直接对象引用）。这类漏洞仍然大部分需要手动挖掘。虽然已经有一些自动化的工具，但挖掘 IDORs 不需要这些工具也可以挖到。如果有一个不错的 API，那么你可以一个一个地查看它们。这类漏洞的竞争小，因为难以自动化挖掘这类漏洞。

如何像安全专业人员那样挖掘 IDORs？首先，找到一个端点，然后检查如果你完全删除一个 cookie，端点还能运行吗？其次，如果用其它用户的 cookie 替换这个 cookie，它还会运行吗？再次，如果你权限级别不同的另外一名用户的cookie 替换这个 cookie，它还能运行吗？有人问可以在移动应用上挖掘 IDORs 吗？不行，这样做就像把两个竞争小的领域叠加在一起，行不通。

其它还有什么建议？第一点，记笔记。你挖掘的漏洞越多，你就会发现越多的相似漏洞。如果你能记住挖掘步骤，那么你就可以重复其中的一些方法。如果半路不知道如何挖下去，那么在脑海里记住，后续再处理。第二点，使用数据。HackerOne 发布了一些关于某些特定行业中找到的漏洞类型。比如医疗行业最常见的是 CCSF 、信息泄漏、IDORs等，那么可以重点关注这些漏洞类型。根据具体的行业决定挖掘的漏洞类型。第三步，尝试，行动起来。抱怨所有漏洞都被别人挖走了不解决问题，动起来，hack 起来才有机会。其实并非所有的漏洞都被挖走了，hack 起来，一切都会好起来（O(∩_∩)O）。

最后，你必须具有和别人不同的思维方式才行。你的思考方式要不同于别人才有机会。例如，有人在 Facebook 上看到印度的女性没有资料照片，有研究表明这是印度独有的现象，是考虑到安全性的问题。有些美国人认为者不可理解，而我对此表示接受和理解。这种不同的思考方式让我在猎洞过程中发现了一些别人未发现的唯一漏洞。所以不要灰心，我保证你会找到属于你的漏洞。