Dưới anh trăng mờ, lữ khách đi một đường kiếm. Một giọt máu hồng rơi trên tuyết trắng mênh mang. Tây Môn Suy Tuyết đã giết 1 người không quen biết, để trả thủ cho một người mà anh ta cũng không hề biết.

• Nghe như các hiệp sĩ mạng các bạn nhĩ 🙂

Bạn đang tìm kiếm những công cụ và hướng dẫn để trở thành một thợ săn tiền thưởng lỗi ?

Nếu bạn không biết phải bắt đầu từ đâu nhưng sẵn sàng học hỏi, thì bài viết này có những thứ bạn cần: danh mục các khóa đào tạo về dịch vụ tiền thưởng lỗi, sách điện tử và các trang web dành cho người mới bắt đầu.

BQT : Bài viết này chưa thật sự chất lượng của cybergiards nhưng khá hay cho những người mới bắt đầu.

Mục lục

• Tiền thưởng lỗi là gì?
• Công cụ tiền thưởng lỗi cho người mới bắt đầu
• Sách đào tạo về Bug Bounty
  • Ghost In The Wires: Cuộc phiêu lưu của tôi với tư cách là hacker bị truy nã gắt gao nhất thế giới
  • Sổ tay tin tặc ứng dụng web: Tìm và khai thác các lỗi bảo mật, Ấn bản lần thứ 2
  • Web Hacking 101: Cách kiếm tiền Hacking một cách có đạo đức
• Các khóa đào tạo về Bug Bounty
  • Hacker101
  • Học viện bảo mật web
  • Lộ trình Kỹ năng An ninh Mạng của SANS
• Lỗi trang web tiền thưởng
  • Google Gruyere
  • HackThis !!
  • Hack hộp
• Các công cụ tiền thưởng lỗi khác cho người mới bắt đầu
  • Pluralsight
  • Hacktivity
  • Shodan
• Chương trình tiền thưởng lỗi cho người mới bắt đầu
• Sẵn sàng để săn lỗi?

Tiền thưởng lỗi là gì?

Chương trình tiền thưởng lỗi khuyến khích tin tặc nhận được phần thưởng cho việc tiết lộ lỗi, thường được gọi là lỗ hổng và khai thác tiềm năng. Tuy nhiên, phổ biến hơn là các công ty sử dụng một dịch vụ trung gian để phát hiện các lỗ hổng trong các ứng dụng nhạy cảm của họ.

Mục đích của chương trình này là ngăn chặn tin tặc mũ đen hoặc mũ xám lợi dụng các lỗ hổng được phát hiện trong phần mềm có chứa thông tin nhạy cảm của doanh nghiệp hoặc khách hàng của doanh nghiệp. Các chương trình tiền thưởng lỗi đã phát triển theo cấp số nhân trong những năm qua để bao gồm các công ty lớn và các tổ chức chính phủ.

Ví dụ: nếu bạn báo cáo một lỗ hổng an toàn quan trọng trong ứng dụng Google, chương trình tiền thưởng lỗi của Google sẽ trao cho bạn số tiền lên đến 31.337 đô la.

Năm 1983, kế hoạch tiền thưởng lỗi đầu tiên được công bố để tin tặc bẻ khóa Hệ điều hành điều hành thời gian thực của Hunter & Ready. Họ sẽ nhận được một chiếc Volkswagen Beetle (hay còn gọi là “lỗi” VW) như một sự khuyến khích nếu một nhà phát triển báo cáo một lỗi.

Bạn sẽ nhận được các ưu đãi từ hàng trăm đô la đến hàng trăm ngàn đô la cho mỗi lần phát hiện và hầu hết các hệ thống tiền thưởng lỗi hiện đại đều trả phần thưởng bằng tiền mặt. Cũng có những hacker làm việc này toàn thời gian, mặc dù thị trường rất cạnh tranh.

Công cụ tiền thưởng lỗi cho người mới bắt đầu

Bạn đã sẵn sàng thực hiện săn tiền thưởng lỗi “bằng tay” của mình chưa? Hãy tham khảo danh mục các nguồn tài nguyên sau đây.

Sách đào tạo về Bug Bounty

Tìm kiếm một vài cuốn sách chuẩn bị tiền thưởng lỗi? Để tiếp tục học cách hack, đây là tuyển tập các cuốn sách kiếm tiền thưởng lỗi tốt nhất dành cho bạn:

Ghost In The Wires: Cuộc phiêu lưu với tư cách là hacker bị truy nã gắt gao nhất thế giới

Để có cái nhìn sâu sắc về tâm trí của một hacker mũ đen, cuốn sách này là cuốn sách phổ biến nhất đối với những thợ săn tiền thưởng lỗi và các chuyên gia an ninh mạng. Đó cũng là một điểm khởi đầu hoàn hảo. Bằng cách đọc một câu chuyện giải trí hơn là nội dung giáo dục, bạn có thể học cách suy nghĩ như một hacker.

“Ghost In The Wires” là câu chuyện về một trong những nghệ sĩ đột nhập điện tử vĩ đại nhất từ ​​trước đến nay, Kevin Mitnick, người đã chạy trốn để xâm nhập vào các tập đoàn lớn nhất trên thế giới. Chuỗi trốn chạy của anh ta đã khiến các quan chức và doanh nghiệp phải đánh giá lại mức độ bảo vệ hiện tại của họ. Anh ấy hiện là một hacker có đạo đức, người đã tư vấn cho các doanh nghiệp cách bảo vệ mạng của họ (như anh ấy đã từng làm!) Trước những tin tặc vô đạo đức.

Sổ tay tin tặc ứng dụng web: Tìm và khai thác các lỗi bảo mật, Ấn bản lần thứ 2

Một số người gọi đây là kinh thánh hack khuôn khổ web vì nó cung cấp các kỹ thuật từng bước để nhắm mục tiêu (nhóm màu đỏ) và bảo vệ nền tảng web (nhóm màu xanh lam). “Bạn sẽ tìm hiểu về cách hack một số loại công nghệ và khuôn khổ từ xa trong“ Sổ tay tin tặc ứng dụng di động: Khám phá và tận dụng các lỗ hổng bảo mật, Ấn bản thứ 2.

Ngoài ra còn có một trang tiền thưởng lỗi kết hợp với tài liệu của cuốn tiểu thuyết, như một phần thưởng. Điều này mang lại cho bạn cơ hội kết hợp những gì bạn đang học. Vì vậy, đối với các hacker thời kỳ đầu nói riêng, cuốn sách này là một hướng dẫn có giá trị.

Web Hacking 101: Cách kiếm tiền Hacking một cách có đạo đức

Web Hacking 101 là sách điện tử được phát triển bởi Peter Yaworski, một chuyên gia về bảo mật phần mềm. Theo một kế hoạch tiền thưởng lỗi, mục đích của anh ta là giúp cộng đồng HackerOne hưởng lợi từ khả năng săn tiền thưởng lỗi của họ. Công cụ tiền thưởng lỗi này về cơ bản sẽ giúp bạn học cách kiếm tiền từ kinh nghiệm của mình về an ninh mạng.

HackerOne cung cấp sách điện tử này miễn phí nếu bạn muốn học cách hack miễn phí khi mới bắt đầu. Bạn sẽ nhận được ấn phẩm qua email sau khi đăng ký hoặc đăng nhập vào tài khoản HackerOne miễn phí của mình.

Các khóa đào tạo về Bug Bounty

Hacker101

HackerOne cũng cung cấp hướng dẫn Hacker101 cho những cá nhân muốn tìm hiểu cách hack miễn phí, ngoài Sách điện tử Web Hacking 101. Khóa học về tiền thưởng lỗi này bao gồm một loạt các bài học video về chủ đề bảo vệ mạng và các thử thách bắt cờ.

Học viện bảo mật web

Học viện An ninh Web của PortSwigger là một khóa học về tiền thưởng lỗi được đánh giá cao khác trong ngành để học cách hack khi mới bắt đầu. Các nhà phát triển của Burp Suite (một chương trình kiểm tra bảo mật phổ biến cho các ứng dụng) cung cấp khóa đào tạo miễn phí này để giúp cải thiện sự nghiệp của bạn với các phòng thí nghiệm phong phú và khả năng học hỏi từ các chuyên gia.

Nhóm chuyên gia về tiền thưởng lỗi do tác giả cuốn Sổ tay tin tặc ứng dụng di động đứng đầu. Chỉ một số môn học mà chương trình đào tạo này đề cập bao gồm:

• Các cuộc tấn công vào tiêu đề máy chủ HTTP,
• Nhiễm độc bộ nhớ cache của web,
• Chèn với SQL, và
• Tiêm XXE (hay còn gọi là tiêm thực thể bên ngoài).

Hãy xem trang web của Học viện An ninh Web Portswigger để đọc thêm về khóa học này.

Lộ trình Kỹ năng An ninh Mạng của SANS

Lộ trình Khả năng An ninh Mạng của SANS là một nguồn tài nguyên hấp dẫn kết nối những người tham gia với hơn 60 khóa học phù hợp với mức độ ưu tiên và khả năng của họ.

Lộ trình được tạo ra bởi Viện SANS, một cơ quan đào tạo về an ninh mạng, nhằm giúp sinh viên điều hướng một loạt các khóa học bắt đầu với các kỹ năng cơ bản và sau đó chuyển sang các kỹ năng quan trọng cho các vai trò cụ thể. SEC504 Hacker Tactics là một trong những khóa học đầu tiên được khuyến nghị và sẽ cung cấp cho bạn thông tin để xác định các phương pháp của tin tặc, xác định các lỗ hổng và chuyển trong một cuộc tấn công từ phòng thủ sang tấn công.

Trang web Lỗi & tiền thưởng

Khi một thợ săn tiền thưởng lỗi mới bắt đầu đọc và xem đủ các khóa học thì đã đến lúc tham gia vào lĩnh vực này. Để thực sự hiểu được các nguyên tắc mà họ nắm vững, bất kỳ chuyên gia công nghệ nào cũng cần triển khai trong cuộc sống thực. Bước tiếp theo để cải thiện bộ kỹ năng an ninh mạng của bạn là các trang web tiền thưởng lỗi mà bạn được phép xâm nhập một cách hợp pháp.

Đối với người mới, đây là danh sách một số trang web tốt nhất của hacker:

Google Gruyere

Một trong những trang web kiếm tiền thưởng lỗi cho người mới bắt đầu được đề xuất nhiều nhất là Google Gruyere. Nó đôi khi được gọi là “sến” vì vậy mọi người sẽ học cách hack vì trang web đầy lỗi. Các lỗi khác nhau, từ tập lệnh trên nhiều trang web (CSS) đến các vấn đề từ chối dịch vụ.

Điều đặc biệt hữu ích là đối với các hacker có thể học bằng cách kiểm tra hộp đen và hộp trắng, trang web này được viết bằng Python.

HackThis !!

Cung cấp hơn 50 cấp độ để bạn có thể bắt đầu với tư cách là một người mới chơi sẳn tiền thưởng lỗi. Mục đích của trang web này là giải thích cách thực hiện các vụ tấn công và nhiều điều tà đạo khác một cách thích hợp. Nó cũng có một diễn đàn để giúp bạn hack và chia sẻ những tin tức quan trọng về bảo mật với bạn.

Hack The Box

Là một người mới bắt đầu hoặc thành thạo nhất, phòng thí nghiệm thử nghiệm thâm nhập này là trang web hack hoàn hảo để nâng cao chuyên môn về tiền thưởng lỗi của bạn. Hack The Box dành cho người mới bắt đầu, công nhân mật mã và lập trình viên tự học tham gia một trong 127 cuộc thi của họ (hoặc thuê một phòng thí nghiệm riêng).

Các công cụ tiền thưởng lỗi khác cho người mới bắt đầu

Pluralsight

Pluralsight là một cách hoàn hảo để tiếp tục việc học của bạn khi bạn nhận bài tập nếu bạn dự định thử sức với nghề an ninh mạng tại một tổ chức. Bạn có thể tìm kiếm thư viện Python, kiến ​​thức cơ bản về bảo mật và bài học từ CompTIA Security + một cách nhanh chóng.

Hacktivity

Khi bạn khám phá thị trường tiền thưởng lỗi khi còn là người mới, Hacktivity có thể trở thành một trong những công cụ yêu thích của bạn. Đối với trò chơi tiền thưởng lỗi, chỉ cần đặt tên đây là ghế VIP của bạn.

Hoạt động mới của hacker về các lỗi được xác định trong các chương trình tiền thưởng lỗi được cung cấp bởi công cụ này, cũng bởi HackerOne. Mỗi mục tin tức trong Hacktivity sẽ bao gồm loại tấn công, trang web của tổ chức và tiền thưởng được tính.

Shodan

Shodan là một nơi tuyệt vời để bắt đầu nếu bạn đã từng nghĩ đến IoT (Internet of Things) như một lĩnh vực để trở thành một hacker. Nó được coi là “công cụ tìm kiếm thiết bị được kết nối Internet đầu tiên trên thế giới” và bạn có thể sử dụng nó để khám phá các thiết bị IoT công cộng trong nhà của bạn hoặc trên toàn thế giới.

Chỉ một cảnh báo: Sau khi xem những phát hiện, bạn có thể muốn suy nghĩ lại về công nghệ mà bạn có trong ngôi nhà của mình. Shodan duyệt internet để tìm TV thông minh, tuabin gió, v.v. mà bạn hoặc tin tặc có ý đồ xấu có thể truy cập.

Chương trình tiền thưởng lỗi cho người mới bắt đầu

Bây giờ, bạn đã học mọi thứ bạn thực sự có thể làm về cách trở thành một thợ săn tiền thưởng lỗi… còn các chương trình tiền thưởng lỗi thì sao? Đây là bước tiếp theo trong quá trình đào tạo tiền thưởng lỗi của bạn để tham gia và phát triển mạnh mẽ trong các giải đấu lớn.

Dưới đây là một số ví dụ về các chương trình tiền thưởng lỗi tốt từ các tổ chức:

• Bộ quốc phòng
• IBM
• Verizon Media

Sẵn sàng để săn lỗi?

Khi bạn học cách trở thành một thợ săn tiền thưởng lỗi , chúng tôi hy vọng số tiền trong bài viết này sẽ là một nguồn tài nguyên tuyệt vời cho bạn. Để tìm hiểu cách chống lại tin tặc độc hại và giúp các tổ chức bảo vệ tài sản có giá trị, bạn hiện có bộ công cụ an ninh mạng tốt nhất. Và xem xét rằng các cuộc tấn công mạng đang gia tăng trên toàn cầu, khả năng của bạn là cần thiết hơn bao giờ hết.