挖洞别只卷国内漏洞了，一起赚美金好吗 | FreeBuf培训

FreeBuf知识大陆 FreeBuf 2024-06-06 19:03

国际惯例，给兄弟们看图

这是我们师傅挖国外SRC的部分赏金截图

就问你！挖国外漏洞赚美金香不香！

不说高危漏洞，拿中危漏洞来说

国内一个中危漏洞300~500人民币

而国外平台里大部分厂商中危都有300~500美刀！

妥妥抵上国内一个高危漏洞了啊！

国外SRC相比于国内，优势还是很明显的，比如：

1、  在国内赚美金，赏金更高，海外SRC收的漏洞类型更多；

2、  审核速度更快，忽略的情况更少；

3、  因需要一定的竞争门槛，所以竞争者更少！

国外SRC玩法

当然，国外SRC也有自己的玩法，比如：

1、缓存服务器和CDN的引入可能会引起缓存相关的问题！

2、不同实践之间的差异化造成的问题，ChatGPT路径解析差异导致缓存欺骗帐户接管，相信这也是未来海外src关键思路之一！

3、反向代理，负载均衡的错误配置可能会导致403的绕过和某些奇怪的SSRF！

4、前端安全往往相较之下并没有那么受到重视，但基于Electron的桌面应用的发展这种偏见慢慢被打破！

5、无头浏览器直接将网页渲染成PDF的SSRF，以往只能弹窗或者弹Cookie的XSS现在摇身一变成为SSRF这样的高风险漏洞！

如果你感兴趣想要尝试的话，这里推荐给大家一些方法：

1、练习portswigger.net的靶场，非常棒的资源，通过这个靶场你能学到很多基础知识，做到快速扫盲

2、研读HackerOne的报告，HackerOne 上面的报告都能免费阅读到（6k+报告）

3、研读pentester.land 上面的文章，学习他人的经验

4、和有经验的人交流，给自己设定目标持续进步

大佬分享

不过，以后海外SRC的思路只会更刁钻，对于刚开始进行海外SRC挖掘的人来说，学习的时间成本无疑很高，所以我们建了一个海外挖洞交流群，邀请了HackerOne中国区2024年榜第三的大佬给分享经验，帮助大家一起学习，进步，暴富！

欢迎大家加我进群！

备注：海外漏洞

· FreeBuf知识大陆APP ·

苹果用户至App Store下载

安卓用户各大应用商城均可下载

如有问题请联系vivi微信：

Erfubreef121