全职漏洞猎人的故事,这个职业令人向往但并不容易

作为一个漏洞猎人,向供应商披露他们的发现(而不是将信息出售给出价最高的人),这已经是许多具备道德的黑客的目标。

[[322254]]

在供应商开始为漏洞信息付费之前,黑客所希望的最好的是有一份报酬丰厚的工作,比如进入大公司。但是现在,很多供应商和服务提供商都拥有一个官方的漏洞披露平台/机制,有的是在内部运行,有的是由第三方管理,并为提供新发现的安全漏洞报告发放漏洞赏金。

随着大量的漏洞赏金计划施行,偶尔赏金还会达到数万或数十万美元,这些因素导致许多黑客将全部精力集中在寻找漏洞上,成为全职漏洞猎人。

这时候,也有一些正在犹豫是否转成全职的人,不知道自己是否适合这种生活/工作。

全职漏洞猎人并不适合所有人

“对于一个已经拥有稳定、高薪的工作并且可能有几个孩子的人来说,将挖洞作为全职工作并不是最好的选择。”

原因是,这个工作需要花费大量的精力(学习)和时间。比如要阅读文档、学习编写自己的工具、阅读安全文章、花时间在研究上、学习编写报告,应用合适的战术等。除非你为此做好了准备,否则可能难以坚持。

此外,全职漏洞猎人要有自己的独立的思维方式,可以尝试从不同的人身上获取一点知识和技能,然后自我消化分析,再把它们整合到自己的工作流程中,适合自己的是最好的。

Santiago Lopez,一位来自阿根廷的年轻人,他在一年前成为首位通过HackerOne 漏洞赏金平台获得超过100万美元赏金奖励的漏洞猎人,他指出,“浪费时间”是一个全职漏洞猎人必须考虑到的问题。他的意思是,有时你经过很长时间的努力才挖到一个漏洞,正满怀激动,结果发现这个漏洞已经在几天或是几小时之前就已经被其他的黑客发现了,这种时候,第二个发现漏洞的人基本不会获得任何奖励。

有抱负的漏洞猎人,应该学会处理好以上这些会面临的问题,保持持续的好奇心和挖洞的渴望。

如何转行

这里介绍了三个全职漏洞猎人,他们每个人进入这一岗位的路线轨迹都不一样,但是相对具有代表性。

Lopez是最直截了当的:他在15岁时就开始做黑客,16岁时获得了第一笔漏洞赏金,此后,他报告了1600多个安全漏洞。事实上,挖洞就是他的第一份工作。

DeVoss:同样从小开始成为黑客,但是他的生活有更多的波折。他会在

在学校的时候,他会在十分钟之内完成工作,然后将剩余的时间都花费在玩电脑上。在他10岁或11岁的时候,偶然发现了一个聊天室,里面的成员教会了他如何hack。当时,他只是出于好玩而做,高中的时候,他和朋友一起闯入了政府安全系统,被捕后,他在监狱中度过了4年时间,当时别人告诉他,还有下次,他就出不来了。对DeVoss来说,漏洞赏金计划是一件好事,因为他可以继续他所钟爱的爱好,同时在法律的允许下。

Cosmin,在成为漏洞猎人之前,他从事软件开发的工作。当时,他和同事被允许选择一个活动或课程来拓展技能。他就去参加了一次黑客研讨会,并在那里发现了漏洞赏金平台的存在。后来,他选择全职挖洞。

全职挖洞的利与弊

如果你做得好,钱就多。

如果一个人实际上每周工作40个小时并且非常出色,那么他们每年就可以轻松赚到7位数。比如DeVoss现在每月工作约10-40个小时,去年他有了903000美元的收入。其中,他获得的单个漏洞的最高赏金约为28000美元,而他最高的单日支出约为18万美元。

一个全职漏洞猎人一年可以赚多少钱没有上限,但最终的金额将取决于运气、时机和经验。

在像HackerOne这样的平台下作为漏洞猎人工作的最大的优势是可以在需要时工作,并且可以根据需要和时间随意休假,还有就是得到平台的相应服务和赏金保障。当然,也有缺点,比如没有固定的工资,有些月份的收入可能比另一些月份差,然后社会隔离也可能是一个问题,不接触外界,工作时间表紊乱等。

挖洞的未来

Lopez认为,对于那些不想遵循传统的公司职业道路并且希望拥有工作灵活性的人来说,黑客永远是一个很好的机会。

随着公众对黑客的了解的增加,利基市场肯定会变小,并为黑客们带来更多的竞争(漏洞平台上的黑客数量越来越多)。

同时,随着万物互联,但构建物联网设备的公司仍未将安全放在优先位置,这一事实造成了巨大的威胁面。更多的安全捍卫者加入一定是好事,我们能够看到更专业的编程,更大的攻击面和更高的回报。也可以看到在竞争中挖洞行业健康发展的趋势。

最后的建议

在社交媒体上关注黑客或加入黑客论坛是黑客(白帽子)学习和交换思想、信息的好方法。不过,最好不要从一开始就选择成为一名全职的漏洞猎人。

  • 首先要确保知道自己在做什么,因为黑客的学习曲线非常陡峭。尤其是在开始阶段。
  • 其次,在转为全职挖洞工作之前,至少要有半年或一年的兼职漏洞猎人经验,这一点很重要。
  • 最后,你还应该处于财务稳定的状态,或者是一个没有太多开支(家庭负担等)的年轻人。 

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/138626.html<

(0)
管理的头像管理
上一篇2025-03-03 02:42
下一篇 2025-03-03 02:43

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注