黑客必逛十大網站?Cybernews（一家境外科技媒體）與HackerOne（國外最大的漏洞平台）談論了黑客的力量這是采訪對話的精簡内容，下面我們就來聊聊關于黑客必逛十大網站?接下來我們就一起去了解一下吧!

黑客必逛十大網站

Cybernews（一家境外科技媒體）與HackerOne（國外最大的漏洞平台）談論了黑客的力量。這是采訪對話的精簡内容。

僅去年一年，黑客就通過HackerOne平台報告了超過 66,000 個漏洞，比一年前增加了 20%。

有些事情已經變得更好了。一方面，善意的黑客不再是惡棍——許多公司為了保護企業和客戶而接受他們的幫助。

Cybernews 與 HackerOne 的解決方案架構師 Dane Sherrets 坐下來讨論這些年來發生了什麼變化，以及您是否可以在漏洞賞金活動中賺取數百萬美元。

• HackerOne 幫助客戶發現并修複了近 230,000 個漏洞；
• 向黑客支付了超過 2 億美元的賞金；
• 過去一年向黑客提供了超過 4000 萬美元的賞金；
• 21 名黑客收入超過 100 萬美元。

HackerOne 是十年前創建的，目的是讓互聯網成為一個更安全。然而，互聯網并不安全。但對白帽黑客的态度似乎正在發生轉變。你看到這種轉變了嗎？

十、二十年前，如果你是一名黑客并發現了一個漏洞，你和你發現該漏洞的組織之間可能會出現一些緊張關系。你可能沒有直接的途徑來報告它。

在法律上和文化上，很多事情都發生了變化。司法部更改了關于指控違反《計算機欺詐和濫用法》的指導。在英國也有一個非常類似的《網絡濫用法案》。還有網絡安全和基礎設施安全局 (CISA) 等組織，以及 [拜登] 政府的一些行政命令，鼓勵組織建立漏洞披露計劃或漏洞賞金計劃。

組織看到了與安全研究人員社區建立良好關系的好處，并認識到當發現下一個Log4j漏洞時，他們希望與社區建立良好關系以幫助保護資産。

與許多知名企業合作——Coinbase、Toyota、PayPal、Twitter 和 Google 等等。很難向一些公司解釋與白帽建立關系的好處嗎？您是主動尋找客戶，還是他們來找您？

我們經常有人來找我們說，是的，我們有研究人員聯系我們，我們希望有一個安全、徹底的過程來處理這些漏洞。十年前，甚至五年前，這些對話可能要困難得多。現在，您想與黑客社區互動，而安全性是政府和最終用戶最關心的問題。

公司加入Hackerone或啟動漏洞賞金計劃是否有任何标準？我知道如果公司有太多漏洞，不建議有漏洞賞金計劃。

漏洞賞金計劃并不是解決所有安全問題的靈丹妙藥。這是安全的一部分。你應該對你的代碼進行靜态和動态測試，你肯定需要一種方法來接收其中一個[漏洞報告]。

無論您是否想要它們，這些漏洞都存在，因此您需要有某種獲得過程。漏洞賞金計劃就是其中的一部分。我認為，很多時候，圍繞 HackerOne 的讨論都集中在漏洞賞金上，但我們也做了很多其他事情來幫助組織縮小他們的攻擊阻力差距。

除了提供漏洞賞金之外，我們還關注我們的研究人員和客戶并提供滲透測試。這是一個與我們的黑客社區互動的機會。

有時會發現新的0day漏洞，但通常會利用已知和公開報告的漏洞。我們在MS Exchange Servers和Log4j庫中看到了這一點。您是否對此類事件做出反應——像 Log4j 這樣的重大漏洞發現？

當 Log4j 發生時，我在 HackerOne，看到我們如何與客戶和黑客合作以 [緩解] 瘋狂的 10.0分漏洞，真是太棒了。

我們最近進行了一項調查，結果表明三分之一的組織看到不到 75% 的攻擊面。我們幫助找到了可能受此漏洞影響的資産，我們的研究人員能夠快速找到組織可能已部署的補丁程序的繞過途徑。

研究人員可以通過說嘿，我找到了這種方式來增加更多價值，我添加了這個額外的引号并繞過了那個補丁，這是我們可以解決這個問題的另一種方式。

黑客社區呢？您是否對他們進行了審查，以确保他們在法律範圍内并以合乎道德的方式這樣做？

當您注冊 HackerOne 時，即表示您簽署了服務條款，您同意不與負責任的披露開玩笑。任何人都可以注冊，但這隻能讓您訪問公共程序。

黑客可以進行額外的審查。我們有一個清晰的計劃，所以如果你符合某些标準和資格并通過背景調查，你可以申請成為一個清晰的研究員。這是您在個人資料上獲得的複選标記，以及您在 Twitter 上獲得驗證的方式，這将使您能夠訪問其他私人程序。

一些客戶可能更喜歡這種類型的研究人員。一旦進入 HackerOne 平台，您就會被激勵以合乎道德的方式行事并發現高質量的漏洞。我們有不同的指标，例如影響力和聲譽。您發現的漏洞質量越高，嚴重性越高，您的指标就會增加，您會收到更多私人邀請。

你是否以其他方式支持黑客？你教育他們嗎？

在 Hacker101 上，我們提供了易受攻擊的應用程序的遊戲化版本，您可以嘗試找到漏洞并捕獲标記。您可以通過利用此應用程序中的不同漏洞來捕獲這些标志。這是學習一些标準類型的漏洞的好方法，我在尋找漏洞賞金時可能會看到。

我們還有一個完整的團隊緻力于教授黑客并幫助他們入門。許多黑客也這樣做[教學]，隻是為了公共利益。他們制作 YouTube 視頻，我們邀請他們參加現場黑客活動，以便他們制作一些關于現場黑客的視頻。

黑客可以通過 HackerOne 平台謀生嗎？對于某些人來說，這是一份全職工作還是隻是一種愛好？

兩個都有。至少有 21 名黑客已經過百萬美元。有人說這是他們的工作——他們早上醒來，從漏洞賞金中賺錢。

有人醒來說，我想做一個 HackerOne 滲透測試，周末我會做一個 bug 賞金。

對有些人來說，HackerOne 隻是一個漏洞賞金空間，也有些人，這是較大的群體之一，也就是說，我有這份安全工程工作，我喜歡它，我喜歡穩定的薪水，但我想要在周末尋找漏洞。這是一個賺取額外收入的有趣機會。

這也是一個很好的學習和職業發展機會。如果您對換工作感興趣，您可以建立一個可以與潛在雇主分享的個人資料。

有些人喜歡做不那麼賺錢的事情。他們喜歡幫助政府保護他們的資産，并以安全的方式入侵非常有趣的組織。它在智力上非常刺激。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!