Hackerone-介绍-2024

一、缘起

最近报名了一个海外漏洞挖掘的课程，特此记录一下学习的心路历程。

以前整的都是国内的，咱们寻思也赚点美刀（如果可以的话）。

二、海外漏洞平台

就像国内有补天和漏洞盒子之类的东东，挖国外的漏洞我们就要去国外的平台上，开篇介绍了这些平台。

1、Hackerone

(一)、项目分类

在Hackerone上有两大类的项目，公共项目（Public）和私人项目（Private）。

公共项目是所有黑客都有权进行渗透的项目，而私人项目则需要收到私人邀请才可以参加，获取私人邀请的资格需要在Hackone的ctf中拿下26分并且挖到三个有效的VDP漏洞，那么啥是VDP呢？

(1)、公共项目

[一]、BBP（Bug Bounty Program）漏洞赏金计划

BBP就是有赏金的漏洞项目，类似于国内的专属SRC和企业SRC。

[二]、VDP（Vulnerability Disclosure Program）漏洞披露计划

类似于公益SRC，没有钱的漏洞项目。

(2)、私有项目

还没玩过呢，说是要有私人邀请才可以，后续补充。

(二)、项目特征

只举一些有特点的说。

[1]、Offers Retesting（提供复测）

这部分的项目会在你提交漏洞并且它修复之后邀请你重新测试，并且重新测试可能还会给你不小的一笔钱。

三、法律风险

因为在公司的时候人家都会给个授权书，这样我可以放心的测。但是这个平台上的我是找半天没找到什么授权书，总感觉自己在干点非法操作...

没有看到一个很清晰的关于白帽子在平台上挖洞的信息，找了一会没找着，只能说大家挖洞的时候注意尺度好了。

祝大家挖洞愉快。