本文主要是介绍【网络安全|白帽子】用技术合法挖漏洞,一个月能拿多少钱?,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
现在很多白帽子(网安工程师/渗透测试工程师)都会在下班之后利用业余时间去补天之类的漏洞赏金平台挖漏洞,用技术合法给企业找出威胁存在,拿到漏洞赏金。
那么现在,一般人用网安技术挖漏洞一个月能拿多少钱?
如果你只是会用一些诸如Nmap和SQLMap这种简单的工具,你去漏洞平台上挖漏洞基本上是不可能有什么收获的,因为简单的漏洞早就被别人查出来了,轮不到你的。
那么怎么找漏洞?
第一个:SQL注入漏洞
AS:首先是SQL注入的,这个漏洞说实话,基本就是谷歌语法找的快,语法:inurl:asp?id=23 公司,这时候你会问:不是 inurl:asp?id=就行了吗,当然!这可以!如果你想找到一些奇奇怪怪的站可以用这个,比如:
第二个:后台管理的漏洞
这里我就不多叙述,因为这站好找,真的特别好找,但是要想能弱密码进去的却很少
直接上镜像站一放inurl: 什么牛鬼蛇神都出来了,这后台管理的站可以说是非常多了,当然如果不想找到国外其它奇奇怪怪的站点的话,建议加个关键词公司哦~
第三个,支付漏洞
这种漏洞咋找?商城,积分商城。
试试谷歌语法: info: 商城 AND 积分商城
重点来了:如果你懂情报收集方法,比如这些技术和工具:
- 基本信息收集:操作系统/中间件/系统/数据库
- 域名收集:御剑/Kbscan/SubDomainBrute
- 端口扫描:NC工具/masscan/nmap
- 目录遍历:端口扫描/目录遍历/web信息刺探
- Web信息嗅探:fofa/quake/Arl灯塔/社工
知道主流漏洞怎么去利用,掌握这些技术去挖漏洞的话,你去漏洞平台找低危漏洞是没什么问题:
XSS、CSRF、SSRF、XXE、弱口令爆破、SQL注入、任意文件漏洞。
只是金额一般不会超过500块钱一个,偶尔能找出500~2000的中危漏洞,比如我徒弟他自己学了差不多2个月,光是补天的漏洞奖励也有个四五千,大学就没问家里要过钱,自己还有点小存余。
如果你想挖出2000块钱以上的高危漏洞,你就得去学这些东西了:
反序列化漏洞、RCE漏洞、内网渗透、反杀、权限提升、APT
掌握之后不仅能找出漏洞,还能轻松进入网站内部拿到关键的数据,我下班有时间就会去给企业挖漏洞,上个月也搞了将近一万块钱,我每个月的工资我从来没有动过,一直存在银行卡里。
如果你也想学会白帽的漏洞技术,可以看看我自己录制的190节视频教程,从0教你怎么学会网络攻防,我自己挖漏洞的经验和技巧都在里面有讲解,粉丝都可以无偿分享。
不过我得提醒大家几句,技术不是三五天就能学会的东西,这些教程学完可以达到黑客高手的水平,想打CTF比赛或者挖漏洞都没有问题,关键是你能否坚持学完它。
做人要有梦想,不然和咸鱼有什么区别,加油吧!
这篇关于【网络安全|白帽子】用技术合法挖漏洞,一个月能拿多少钱?的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!