白天,PabloGarcíaPerez是Wayra -Telefónica的全球技术创新中心的财务主管。但是到了晚上,他使灯光变暗,发射Burp Suite专业人士,并有助于与网络犯罪作战虫子赏金猎人。
作为一个自我宣告的“非技术”人,帕勃罗是一个有趣的案例。他当然不会让他缺乏专业知识阻止他退缩。在担任道德黑客的头两年中,他赢得了无数的漏洞赏金 - 而且他渴望更多。
帕勃罗很快将出版一本关于0xword下的虫子赏金狩猎的书,主要针对讲西班牙语的黑客。他还是Telefónica首席数字消费官,Chema Alonso流行的网络安全博客“ El Lado del Mal”(“邪恶的一面”)的撰稿人。
作为具有有限编码经验的“非技术”虫子赏金猎人,Pablo认为以下BURP Suite功能和特征对他的工作特别有利:
Burp Suite专业人士比大多数其他Boun Bounty狩猎工具更容易学习。
Burp Suite使他能够代理和编辑他的浏览器提出的所有请求。
他可以看到他的浏览器在会议中提出的每一个请求的历史以及收到的答复。
它允许易于映射目标应用程序 - 允许发现隐藏内容。
Pablo首先发现Boun Bounty狩猎的那一天相当普通。在担任财务审计师的艰难工作之后,他决定在流行的流媒体平台上踢回去看电影。但是有些不对劲。帕勃罗注意到,应该可以将他正在观看的内容下载到自己的机器上 - 在他用来播放它的付费应用程序之外。
帕勃罗(Pablo)作为一个诚实的人,试图将其报告给内容提供商 - 他这样做了。除了他没有太远。提供商有一个错误赏金计划,但严格仅是邀请。他们不会接受他的报告。但是帕勃罗没有让这种冷冻击败他。这三个新词“漏洞赏金计划” - 被卡在他的脑海中。
帕勃罗(Pablo)开始研究公共错误赏金程序 - 并开始使用Google Chrome Devtools开始搜寻漏洞的程序。Chrome允许他看到他想改变什么 - 但是他如何真正改变它?当然,他需要的是拦截代理。帕勃罗(Pablo)记得他第一次发现Burp Suite的那一刻。正如他所说的那样,那就像一条“巨大的墙”在他的眼前消失了。
不久之后,Pablo使用Burp Suite赢得了他的第一个付费Bounty(对于打开重定向漏洞)。请记住,在这一点上,帕勃罗已经在一家四大公司的财务审计中取得了成功的职业生涯。但是这300美元的虫子使他感到非常兴奋,以至于他立即打电话给父亲(有计算机科学背景),告诉他好消息。
到目前为止,帕勃罗的故事应该是任何认为自己“不够技术”以了解网络安全或漏洞赏金的人的灵感。虽然帕勃罗承认是数学爱好者,但他的简历中几乎没有暗示他作为黑客的技能。
帕勃罗(Pablo)归功于他的成功是他作为财务审计师的经验。他渴望指出,许多网络安全漏洞都依赖于对应用程序背后的过程的理解 - 企业本身的运作方式。这是他的审计职业对他的帮助。因此,事实证明,有时候,良好的黑客攻击是关于创造力的,并利用您已经拥有的技能。
Pablo对Bounty Hunting的未来很乐观 - 他认为这是下一个大型安全标准。当然 - 如果这个想法是要在应用程序上获得尽可能多的训练有素的眼睛,那么一个错误赏金程序是保护软件的好方法。由于Hackerone之类的网站一直都在看到Bug Bounty支出的新记录,因此未来看起来很乐观。
像大多数黑客一样,帕勃罗(Pablo)梦想着找到巨大的信息泄漏或零日漏洞。但是与此同时,他满足于寻找简单的日常错误。他一直在寻找新的方法来做到这一点,但是到目前为止,Google Dorking和Burp Suite使用的结合继续(实际上)为他支付了股息。
一件事很清楚。如果(正如Pablo本人所说的那样)非技术人员可以使用Burp Suite找到组织错过的简单错误,那么Bug Bounty狩猎行业只能从这里发展。在一个每周而不是每年完成软件发布的世界中,Bug Bounty程序是确保Web应用程序安全的好方法。beplay体育能用吗
帕勃罗(Pablo)确定了许多Burp Suite功能,这些功能是他的虫子赏金狩猎方法的关键:
Burp Repeater。Pablo喜欢Burp Repeater的简单性。它使他可以轻松编辑他的浏览器提出的HTTP请求。
这目标站点地图功能。这使Pablo能够有效地管理其攻击,并确定有用的漏洞狩猎内容。
Burp代理历史。回忆通过BURP代理的每条消息的能力使Bug Bounty Hunters这样的猎人可以简化其工作流程。
Burp Suite Professional是一组用于测试Web安全性的工具 - 全部在单个产品中。beplay体育能用吗从基本的拦截代理到带有Burp Suite Pro的尖端脆弱性扫描仪,正确的工具永远不超过单击。
