작가님의 허락을 받고 번역한 글입니다.(원문)
바운티 헌터가 되기를 꿈꾼 적이 있다면, 그 꿈은 이루어질 수 있습니다. -- 여러분의 이름을 “개”로 바꾸거나 Han Solo in a Mos Eisley cantina을 대면하지 않아도 가능합니다. 버그 바운티 헌터 : 소프트웨어나 웹사이트에서 취약점을 찾고 돈을 받는 해커
충분한 호기심과 컴퓨터 기술이 있다면 누구나 성공적인 취약점 점검을 할 수 있습니다. 시작을 하는데 나이는 상관 없습니다. 가장 중요한 것은 계속, 지속적으로 배우는 끈기입니다. 이것이 여러분에게 가장 필요한 것입니다. 또한 아이디어를 공유할 친구가 있다면 배움이 더 재밌을 겁니다. 이 글의 내용은 제가 해커가 된 방법입니다.
이해하기 쉽고, 유의미한 버그 보고하기
질은 양을 뛰어넘습니다. production 시스템에서의 원격 코드 실행은 self-XSS보다 훨씬 더 많은 가치가 있습니다. 굉장히 심각한 버그를 헌팅하는 그 스릴을 즐기시길 바랍니다. 성공적인 해커들은 가능한한 깔끔하게 문제를 설명하는데 시간을 많이 보냅니다. 포인트를 잡고, 불필요한 부분은 제외해서 여러분의 버그 보고서를 제출하십시오. 마침내, 성공적인 헌터들은 취약점 조사를 시작하기 전 프로그램 정책을 읽습니다.
돈을 벌고 존경을 표하십시오.
바운티 금액에 대한 회사의 결정을 존중하십시오. 회사에서 주기로한 금액에 동의하지 않는다면 왜 더 많은 금액을 보상 받아야 하는지에 대한 합당한 논의를 해 보시기 바랍니다. 더 많은 보상을 받을만하다는 이유를 제대로 준비하지 않고서 또 다른 보상을 요구하는 상황은 있어선 안됩니다. 아무튼 회사는 여러분의 시간과 가치를 존중해야합니다. 존중의 방식으로서 책임감 있고, 투명하게 바운티를 운영하며, 여러분과 함께 수정사항에 대해 논의하고, 적용된 수정 사항을 테스트를 요청하는 것입니다. 의사 전달을 잘하고, 합리적인 성과를 거두십시오: 성공적인 버그 바운티 헌터들은 엄청나게 많은 잡 오퍼를 받습니다.
과제를 하십시오
기초적인 것들에 충분히 익숙하지 않다면, 더 연습하시기 바랍니다. 이것이 IP, TCP 그리고 HTTP와 같은 프로토콜을 이해하는데 그리고 웹 프로그래밍 클래스를 듣는데, 정말 많은 도움이 됩니다. 대부분의 버그 바운티 프로그램은 웹 앱에 집중되어 있습니다. 웹에서 성공적인 버그 바운티 헌터가 되기 위해서, 아래 자료들을 살펴보시길 권합니다.
- The Web Application Hacker's Handbook 읽기
- publicly disclosed bugs on HackerOne 살펴 보기
- Google Bughunter University 확인해 보기
친구와 함께 연습
해커 친구가 있을 정도로 충분히 운이 좋다면, 저에게 굉장히 잘 통했던 것들을 시도해보십시오. 제 친구와 저는 아주 작은 취약한 프로그램을 짜고, 서로 숨겨진 취약점 찾기 도전을 했습니다. 여러분을 도전적이게 만드는 누군가를 찾고, 그들의 도전에서 배운 것을 실제 버그를 찾는데 사용하십시오.
버그 헌팅은 모든 소프트웨어에서 가장 필요로 하고 있는 것 중 하나입니다. 쉽지 않습니다. 하지만 제대로 했을 경우, 굉장히 보상이 좋습니다. 코드를 작성하는 것과 같이 끈기와 굉장히 많은 피드백 그리고 성공적인 버그 바운티 헌터가 되겠다는 결단력이 필요하다는 것을 잊지 마시기 바랍니다. 창의적인 사고를 하고 할 수 있는 최선을 다하십시오.
노트: 이 포스트의 첫 버전은 Quora에서 확인할 수 있습니다. Jobert를 팔로우 해주세요. 더 많은 정보보안 조언이 있습니다.!
Jobert Abma, 공동 설립자
추신 - 여러분도 인터넷 인프라의 코어 그리고 무료 오픈소스 소프트웨어를 좀 더 안전하게 만드는데 기여할 수 있습니다. 인터넷 버그 바운티 프로그램을 확인해 보시기 바랍니다!
Comments