Nghề săn lỗ hổng kiếm tiền thưởng là làm công việc gì ạ và cần học gì để làm công việc ấy ạ anh?

  1. An ninh mạng

  2. Nguyễn Mạnh Hùng

Từ khóa: 

nghề săn lỗ hổng

,

kiếm tiền thưởng

,

bảo mật

,

công nghệ

,

an ninh mạng

,

chuyên gia bảo mật - an toàn thông tin

Chào Nam,

Nghề săn lỗ hổng kiếm tiền thưởng là công việc tìm kiếm các lỗ hổng bảo mật trên các hệ thống, ứng dụng công nghệ thống tin của các tập đoàn, công ty CNTT lớn trên thế giới. Nếu lỗ hổng bảo mật của chúng ta được chấp nhận chúng ta sẽ được trả tiền thưởng. Số tiền thưởng có thể khá nhỏ ($50) đến rất lớn ($50.000-$100.000 hoặc hơn) tùy thuộc vào mức độ nghiêm trọng lỗi bảo mật chúng ta tìm được và "túi tiền" của công ty trả thưởng. Có 2 hình thức tìm kiếm các công tuy trả thưởng bug bounty. Một là các công ty có chương trình bug bounty riêng như Google, Microsoft, Facebook, Apple... Hai là qua nền tảng bug bounty chung cho các công ty như:

Hackerone
,
Bugcrowd
...

Các kiến thức cần trang bị để làm Bug bounty tôi đã chia sẻ ở câu hỏi trước, tôi xin chia sẻ lại như sau:

Để trở thành một Web pentester - Bug bounty hunter giỏi có rất nhiều kiến thức và kỹ năng cần học tập, rèn luyện. Ở đây tôi chia sẻ với bạn 4 định hướng cơ bản tôi đã trải qua:

1. Tìm hiểu kiến thức cơ bản về Web app và cách "hack" ứng dụng web. Tôi đề xuất bạn đọc cuốn "web application hacker's handbook" để nắm được kiến thức cơ bản.

2. Thực hành thật nhiều trên các ứng dụng, nền tảng giả lập lỗi giống môi trường thật. Tôi đề xuất bạn thử thực hành trên nền tảng free của

Portswigger
. Bạn có thể rèn luyện và tham gia các cuộc thi CTF để mở rộng cộng đồng và kiến thức.

3. Tham gia các nền tảng Bug bounty, tìm hiểu các lỗi đã được công bố trước đó và thực hành lại để hiểu và có thể khai thác các lỗi tương tự. Bạn có thể tham khảo các lỗi công bố của hackerone tại

link
, hoặc đọc sách
Real-world bug hunting
.

4. Không ngừng mở rộng kết nối và học tập từ các nguồn sẵn có trên mạng. Ví dụ: follow các hacker nổi tiếng trên twitter, youtube... có 2 nguồn video rất hay bạn có thể tham khảo là: video youtube của

Bugcrowd
NahamSec
. Khi theo dõi twitter, youtube bạn sẽ mở rộng hiểu biết và nguồn học tập không còn giới hạn trong những gì tôi đã hiểu. Hãy chủ động học và tiếp thu những gì bạn thấy hay, phù hợp với bạn.

Và cuối cùng không liên quan đến kiến thức nhưng lại là yếu tố quan trọng nhất để thành công: đó là đam mê. Hãy cùng xem

video phỏng vấn 1 hacker tuổi teen đã kiếm được 1 triệu USD
hoàn toàn hợp pháp để bắt đầu mồi lửa đam mê nhé.

Trân trọng.

Trả lời

Chào Nam,

Nghề săn lỗ hổng kiếm tiền thưởng là công việc tìm kiếm các lỗ hổng bảo mật trên các hệ thống, ứng dụng công nghệ thống tin của các tập đoàn, công ty CNTT lớn trên thế giới. Nếu lỗ hổng bảo mật của chúng ta được chấp nhận chúng ta sẽ được trả tiền thưởng. Số tiền thưởng có thể khá nhỏ ($50) đến rất lớn ($50.000-$100.000 hoặc hơn) tùy thuộc vào mức độ nghiêm trọng lỗi bảo mật chúng ta tìm được và "túi tiền" của công ty trả thưởng. Có 2 hình thức tìm kiếm các công tuy trả thưởng bug bounty. Một là các công ty có chương trình bug bounty riêng như Google, Microsoft, Facebook, Apple... Hai là qua nền tảng bug bounty chung cho các công ty như:

Hackerone
,
Bugcrowd
...

Các kiến thức cần trang bị để làm Bug bounty tôi đã chia sẻ ở câu hỏi trước, tôi xin chia sẻ lại như sau:

Để trở thành một Web pentester - Bug bounty hunter giỏi có rất nhiều kiến thức và kỹ năng cần học tập, rèn luyện. Ở đây tôi chia sẻ với bạn 4 định hướng cơ bản tôi đã trải qua:

1. Tìm hiểu kiến thức cơ bản về Web app và cách "hack" ứng dụng web. Tôi đề xuất bạn đọc cuốn "web application hacker's handbook" để nắm được kiến thức cơ bản.

2. Thực hành thật nhiều trên các ứng dụng, nền tảng giả lập lỗi giống môi trường thật. Tôi đề xuất bạn thử thực hành trên nền tảng free của

Portswigger
. Bạn có thể rèn luyện và tham gia các cuộc thi CTF để mở rộng cộng đồng và kiến thức.

3. Tham gia các nền tảng Bug bounty, tìm hiểu các lỗi đã được công bố trước đó và thực hành lại để hiểu và có thể khai thác các lỗi tương tự. Bạn có thể tham khảo các lỗi công bố của hackerone tại

link
, hoặc đọc sách
Real-world bug hunting
.

4. Không ngừng mở rộng kết nối và học tập từ các nguồn sẵn có trên mạng. Ví dụ: follow các hacker nổi tiếng trên twitter, youtube... có 2 nguồn video rất hay bạn có thể tham khảo là: video youtube của

Bugcrowd
NahamSec
. Khi theo dõi twitter, youtube bạn sẽ mở rộng hiểu biết và nguồn học tập không còn giới hạn trong những gì tôi đã hiểu. Hãy chủ động học và tiếp thu những gì bạn thấy hay, phù hợp với bạn.

Và cuối cùng không liên quan đến kiến thức nhưng lại là yếu tố quan trọng nhất để thành công: đó là đam mê. Hãy cùng xem

video phỏng vấn 1 hacker tuổi teen đã kiếm được 1 triệu USD
hoàn toàn hợp pháp để bắt đầu mồi lửa đam mê nhé.

Trân trọng.