Symbo1

01 Dec 2018 - Tr3jer_CongRong

      和师傅们组了个局儿 —— www.Symbo1.com截止上线为止团队成员收割了44家国际厂商的Acknowledgement。就像About里的那句话:Reward只是一时的,每个Acknowledgement才是永恒的。个人来讲有无Reward无所谓,譬如Apple、Evernote等我都会玩。不过下文还是会站在整个BugHunter中立角度来简单阐述下国际厂商的一些事。

      印象中第一次给国际厂商提交报告还是几年前,通过h1报给PHP(IBB)的,不过以内部已知忽略告终。随后慢慢接触发现挖国际厂商还是挺有意思的,会接触很多新鲜事物:老外架构的软件或部署的系统以及针对漏洞的审核。并不是说挖国际厂商多么难,(gg tt fb这种是挺难的)而是刚开始我们并不了解歪果仁每天都在使用的产品。就好比再厉害的外国选手,耍国内src未必拼的过我国学生。

      话说回来,还是会有一些优秀的Bughunter值得学习,他们的想法与思路真的很新奇,与国内的视角是不一样的,而且审核针对每个漏洞的评判也并不一致。他们更看重一个漏洞危害程度,譬如domain takeover这种漏洞uber、starbucks能Reward$5000(挖到的前提是讲究天时地利柔人和,我是没捡到过)国内很少见,和本土云服务有关吧。还是这个例子,原理的确很简单粗暴,但放在国内就会说只是domain master点错了给您“打一折”儿吧小老弟。

      玩国际厂商还是放弃一把梭吧,扫描器之类的更没什么用,不过可以深层fuzz。印象中h1 leaderboard(同登过某季度的xD)有个毛子选手那真的猛,所以国外项目个人更倾向于更大范围的信息收集,7*24小时轮训几百个项目主域名的子域名+设备服务指纹信息等,甚至自制域段翻个遍。再采集下来,检索关键字挑能看对眼的玩。

      前面存在一部分玩笑,其实国内src发展的蛮好的,也算是良性的体系,不能说哪个优秀的国际厂商值得我们借鉴,而是整体可以互相学习的。甚至本土也有越来越多的厂商入驻国外BugHunter圈子,金山、滴滴、阿里等。but老外们要是想挖国内src估计会卡在注册时没有+86的11位手机号而不得不放弃精美的积分玩偶,用来见证这份跨越种族的黑客友谊。

      我爱我的祖国,国际VRP项目Reward无所谓,甚至你修不修我都无所谓。只需要记住是为自身生长就够了,尽人事听天命。

      时间往前倒退,怀念也欣慰最初和童哥、帅帅、滨师傅等人交流国际项目的日子,才会有今天的组织成立。一首Hall of Fame送给你们。

      客观原因也的确有些日子没有和师傅们研究这些项目了,未来我们就算不挖还是会多做些相关研究,并通过团队输出更多的价值。