IT業界資訊媒體

【WFH 筍工推介】你問我答!白帽客界 3 位賞金獵人嘅入行攻略

疫境下全球失業率急升,但有幾個行業不受影響,如常運作,其中一個就係協助堵塞網絡保安漏洞嘅白帽黑客。

講到黑客,好似一定犯法,其實不然。有道德嘅一班高手,選擇向網絡保安服務商舉報漏洞,以前可能當響朵贏得一官半職,隨著網絡安全得到重視,賞金平台 HackerOne 開張大吉,一班白帽黑客就可以靠賞金過活。係咪好想知點樣入行?賞金行情?由曾黑入美國政府嘅 Tommy DeVoss、由程式員轉職嘅 Cosmin、HackerOne 首位累計過百萬美元賞金嘅 Santiago Lopez,三位全職賞金獵人向大家披露入行心得。小編將之總結成以下 5 大重點。

實質工作流程係點先?

要睇大量文件、熟用 Burp、Sublist3r、dnscan,亦要開發個人工具、不斷吸收最新網絡保安資訊、寫報告、搵出自己擅長嘅保安範疇與策略等。技巧方面,唔可以只參考一個黑客嘅工作方式,要喺唔同人身上偷師,融會貫通,建立個人風格。呢份工好花時間,有時埋門一腳會被人截糊,第 2 名係一蚊都分唔到,所以唔好以為真係篤吓電腦就有錢袋咁 naive,真係要有興趣「捉蟲」,保持好奇心,享受破解嘅快感,唔好下下用錢衡量付出。

收入有幾多?

一個有料嘅白帽,每星期做 40 個鐘,一年輕鬆賺 7 位數美元。以 DeVoss 為例,佢一個月做 10 至 40 小時,2019 年收 90.3 萬美元。入行至今,最高單一賞金為 2.8 萬美金,最高單日收入 18 萬美金。DeVos 有幾叻?佢 10 歲就透過 Chatroom 學曉黑客技術,高中技癢闖禍屢勸不果,結果黑入政府保安系統而被捕,收監 4 年,司法機構講明再犯唔駛旨意出獄。多得賞金獵人工種,佢先可以從事合法又有興趣嘅工作,賺錢過理想生活。

鍾意開工唔鍾意就休息,得唔得先?

答案係得嘅,賞金制好處係狀態好時可以谷,狀態差可以縮,唔使鑽牛角尖。另一特點係時間夠彈性,隨時可以放假,參加世界各地黑客交流會。當然收入方便都「彈性」,運氣好壞嘅月份相差可以好大。另外,長期孤獨工作都係一份考驗,要適當調整工作日程,以防過度燃燒。

行業競爭大唔大?

最近越來越多人入行,競爭越來越明顯,特別係新世代都唔鍾意企業束縛。3 位白帽都表示好歡迎良性競爭,因為 IoT 普及,越來越多產品都同互聯網連接,保安漏洞嘅影響亦更廣範,而 IoT 開發商本身對網絡保安陌生又唔重視,變相製造網絡漏洞,令需求大增,所以行業前景頗明朗。 

初哥入行有乜建議先?

唔建議一開波就做全職獵人,最好試半年 Part Time 先,因為呢個行業嘅學習曲線好斜,有心理準備頭一年無咩肉食,重點係適應節奏同生活模式,學習技巧吸收經驗。真係要全職做,入行前要準備好一筆資金,或有其他收入,支撐到一年開資先好瞓身。

資料來源:https://bit.ly/3b5ZLwN

相關文章:【報名參軍!】出席DEFCON 有機會喺五角大樓返工