一个全职漏洞猎人的故事,一个令人向往但不容易成为黑客目标的职业。在供应商开始为漏洞信息付费之前,黑客最多只能期待一份高薪工作,比如闯入一家大公司。但是现在,许多厂商和服务提供商都有一个官方的漏洞披露平台/机制,或者在内部运行,或者由第三方管理,并为报告新发现的安全漏洞发放漏洞赏金。随着大量漏洞赏金计划的实施,偶尔的赏金高达数万或数十万美元,这些因素导致许多黑客完全专注于寻找漏洞并成为全职漏洞猎手。这时候,也有一些人在犹豫是否要转一份全职工作,不知道自己是否适合这样的生活/工作。全职找漏洞并不适合所有人“对于已经拥有一份稳定、高薪工作并且可能有几个孩子的人来说,作为全职工作来挖漏洞并不是最好的选择。”原因是,这份工作要花钱。大量的精力(学习)和时间。阅读文档、学习编写自己的工具、阅读安全文章、花时间进行研究、学习编写报告、应用适当的策略等。除非你做好准备,否则很难坚持下去。此外,专职的bughunters必须有自己独立的思维方式。他们可以尝试从不同的人那里获得一点知识和技能,然后自己消化和分析,然后将它们融入到自己的工作流程中。适合自己的才是最好的。.来自阿根廷的年轻人SantiagoLopez一年前通过HackerOne漏洞赏金平台成为第一个获得超过100万美元赏金的漏洞猎手,他指出“浪费时间”是全职漏洞猎手的必经之路.到问题。他的意思是,有时你花了很长时间才找到一个漏洞,你很兴奋,结果发现它已经被其他黑客在几天或几小时前发现了。发现bug的两个人,基本上是拿不到任何奖励的。有抱负的bughunters应该学会处理上述问题,并保持不断的好奇心和挖洞的欲望。如何转行这里有三位全职漏洞猎手。他们每个人到这个位置的路线都不一样,但是都比较有代表性。Lopez是最直接的:他15岁开始从事黑客工作,16岁时赢得了他的第一个漏洞赏金,此后报告了1,600多个安全漏洞。事实上,挖洞是他的第一份工作。DeVoss:他也是从小就成为了一名黑客,但是他的人生更加曲折。在学校的时候,他会在十分钟内完成作业,剩下的时间就花在电脑上。当他10岁或11岁时,他偶然发现了一个聊天室,其成员教他如何破解。那时他只是为了好玩,高中时他和朋友闯入政府保安,被抓后在监狱里度过了4年,他被告知还有下一次,他不能出去。对于DeVoss来说,漏洞赏金计划是一件好事,因为他可以在法律允许的情况下继续他热爱的爱好。Cosmin,在成为漏洞猎人之前,他从事软件开发工作。当时,他和他的同事们被允许选择一项活动或课程来扩展他们的技能。他去了一个黑客工作室,在那里他发现了一个漏洞赏金平台的存在。后来,他选择全职挖坑。全职挖洞的利弊做得好,钱也不少。一个人如果真的一周工作40小时,真的很厉害的话,一年可以轻松赚到7位数。例如,DeVoss现在每个月工作大约10-40个小时,他去年赚了903,000美元。其中,他因单个漏洞获得的最高赏金约为28,000美元,单日最高支出约为180,000美元。全职漏洞猎人一年能赚多少钱没有上限,但最终的数额取决于运气、时机和经验。在HackerOne这样的平台上做漏洞猎手最大的好处就是可以在需要的时候工作,可以根据自己的需要和时间随意休假,并且可以获得HackerOne相应的服务和赏金保证。平台。当然,也有不好的地方,比如没有固定的工资,有些月的收入可能会比其他月差,然后社交隔离也是一个问题,与外界没有联系,工作安排不规律等等。未来的BurrowingLopez认为,对于那些不想遵循传统的企业职业道路并希望在工作中具有灵活性的人来说,黑客永远是一个很好的机会。随着公众对黑客知识的增加,利基市场肯定会缩小并为黑客创造更多竞争(利用平台上的黑客数量正在增加)。与此同时,随着万物互联,安全仍然不是构建物联网设备的公司的优先考虑,这一事实创造了巨大的威胁面。更多的安全卫士加入一定是好事,我们可以看到更专业的编程、更大的攻击面和更高的回报。在竞争中也可以看到隧道行业的健康趋势。最后建议在社交媒体上关注黑客或加入黑客论坛是黑客(白帽)学习和交流想法、信息的好方法。但是,最好不要一开始就选择成为一名全职的漏洞猎手。确保您首先知道自己在做什么,因为黑客的学习曲线很陡。特别是在起步阶段。其次,在转为全职漏洞搜索工作之前,至少有半年或一年的兼职漏洞猎人经验很重要。最后,你也应该处于财务稳定的状态,或者是没有太多开销(家庭负担等)的年轻人。
