Làm thế nào để thất bại một cách thành công

Làm thế nào để thất bại một cách thành công

Hay còn gọi là "Học cách thất bại"

·

3 min read

Play this article

Mình muốn viết bài viết nay thật sớm, vì đó là một trong những kĩ năng cần thiết nhất trong beg bounty. Hoàn toàn không phải một bài viết kêu ca, than thân trách phận nếu bạn định nhìn nó theo hướng như thế. Một trong những lý do mình muốn viết bài này càng sớm càng tốt là do mình thấy ông em xã hội của mình vẫn đang chật vật để làm quen với những thất bại đầu tiên khi beg bounty =)).


Vậy tại sao cần làm quen với thất bại?

Câu trả lời rất đơn giản, vì nếu join beg bounty game, bạn sẽ gặp thất bại nhiều vcl. Không cần biết bạn là tay to, gosu, chiến thần hay bất cứ thứ gì, chắc chắn sẽ có lúc bạn gặp phải thất bại, xui tý thì gặp rất thường xuyên =)).


Thế "thất bại" mà mình nhắc đến nãy giờ là clg ? Mồm ngang mũi dọc ra sao ?

Thất bại trong beg bounty thì muôn hình vạn dạng, nhưng mình có thể liệt kê ra một vài case mà theo mình, nó là thất bại (Có kèm hình minh họa luôn🤡):

  • Báo cáo của bạn bị Duplicate : case này thường xảy ra nhất, đơn giản là có ông thần nào đó tìm ra lỗi giống bạn nhưng sớm hơn bạn ¯\_(ツ)_/¯ ). Trên thực tế mình gặp nhiều vl =))) Trong tổng số 50+ lỗ hổng mình tìm được và báo cáo trên Bugcrowd thì tầm 1 nửa trong số đó là duplicate 🤡. Nói có sách mách có POC:

  • Báo cáo của bạn bị đánh dấu là Informative/Informational /Not applicable: Program owner đã biết về lỗ hổng này và và chấp nhận rủi ro mà lỗ hổng đó CÓ THỂ đem lại, hoặc lỗ hổng này không thể/ khó có thể khai thác trên thực tế. Ví dụ ngay đây

  • Báo cáo của bạn bị đánh Out of scope : Case này xảy ra khi bạn không đọc kĩ Rule, Out of scope của chương trình 🐸... Nghe hơi đần nhưng có rất nhiều người dính đòn này =))), trong đó có mình:

Thêm 1 fact đó là out of scope ảnh hưởng trực tiếp đến statsđiểm của bạn


Ok, thế giờ ông đối phó với nó như nào?

Thứ duy nhất bạn cần chuẩn bị để đối phó với thằng khốn này, đó là mindset (tư duy, nhưng mình thích gọi là mindset hơn, nghe oách xà lách vl 🐧). Không có gì có thể cứu được bạn ngoài chính bạn ( Surevkl ), và chính xác thứ sẽ cứu bạn ở đây là cách bạn nghĩ và đối mặt với nó. Nhưng tiếc thay, đoạn này mình cũng đ biết phải nói như nào nữa, nên mình sẽ chia sẻ về cách mình xử lý khi gặp:

  • Duplicate: ăn mừng vì mình vừa tìm được 1 lỗ hổng hợp lệ, mindset và hướng đi vẫn đúng, chỉ là chậm hơn chút thôi. Đơn giản là: Tìm được lỗ hổng bảo mật -> Ăn mừng, lặp lại, lặp lại và lặp lại.

  • Informative/Informational/Not applicable: đây thực sự là một thất bại to hơn cả Duplicate, vì bạn thất bại ngay từ bước "Xác định impact" của lỗ hổng. Giờ là lúc ngồi suy nghĩ và ngẫm lại: "Tại sao từ đầu mình lại nghĩ nó là lỗi ? Mình đã chơi cái gì để tưởng tưởng ra được impact hay kịch bản khai thác?". Thay vì ngồi thất vọng hay buồn vcl buồn, đây là lúc bạn nên uốn nắn chỉnh sửa lại mindset của bản thân.

  • Out of scope: không có gì để nói nhiều =)) Đơn giản là mình nhận ra mình ngố vl ngố, kèm với suy nghĩ "Lần sau phải đọc kĩ, lần sau phải đọc kĩ, lần sau phải đọc kĩ"