Symbo1

01 Dec 2018 - Tr3jer_CongRong

      和师傅们组了个局儿 —— www.Symbo1.com截止上线为止团队成员收割了44家国际厂商的Acknowledgement。就像About里的那句话：Reward只是一时的，每个Acknowledgement才是永恒的。个人来讲有无Reward无所谓，譬如Apple、Evernote等我都会玩。不过下文还是会站在整个BugHunter中立角度来简单阐述下国际厂商的一些事。

      印象中第一次给国际厂商提交报告还是几年前，通过h1报给PHP(IBB)的，不过以内部已知忽略告终。随后慢慢接触发现挖国际厂商还是挺有意思的，会接触很多新鲜事物：老外架构的软件或部署的系统以及针对漏洞的审核。并不是说挖国际厂商多么难，（gg tt fb这种是挺难的）而是刚开始我们并不了解歪果仁每天都在使用的产品。就好比再厉害的外国选手，耍国内src未必拼的过我国学生。

      话说回来，还是会有一些优秀的Bughunter值得学习，他们的想法与思路真的很新奇，与国内的视角是不一样的，而且审核针对每个漏洞的评判也并不一致。他们更看重一个漏洞危害程度，譬如domain takeover这种漏洞uber、starbucks能Reward$5000（挖到的前提是讲究天时地利柔人和，我是没捡到过）国内很少见，和本土云服务有关吧。还是这个例子，原理的确很简单粗暴，但放在国内就会说只是domain master点错了给您“打一折”儿吧小老弟。

      玩国际厂商还是放弃一把梭吧，扫描器之类的更没什么用，不过可以深层fuzz。印象中h1 leaderboard（同登过某季度的xD）有个毛子选手那真的猛，所以国外项目个人更倾向于更大范围的信息收集，7*24小时轮训几百个项目主域名的子域名+设备服务指纹信息等，甚至自制域段翻个遍。再采集下来，检索关键字挑能看对眼的玩。

      前面存在一部分玩笑，其实国内src发展的蛮好的，也算是良性的体系，不能说哪个优秀的国际厂商值得我们借鉴，而是整体可以互相学习的。甚至本土也有越来越多的厂商入驻国外BugHunter圈子，金山、滴滴、阿里等。but老外们要是想挖国内src估计会卡在注册时没有+86的11位手机号而不得不放弃精美的积分玩偶，用来见证这份跨越种族的黑客友谊。

      我爱我的祖国，国际VRP项目Reward无所谓，甚至你修不修我都无所谓。只需要记住是为自身生长就够了，尽人事听天命。

      时间往前倒退，怀念也欣慰最初和童哥、帅帅、滨师傅等人交流国际项目的日子，才会有今天的组织成立。一首Hall of Fame送给你们。

      客观原因也的确有些日子没有和师傅们研究这些项目了，未来我们就算不挖还是会多做些相关研究，并通过团队输出更多的价值。