試著找個方法,讓「找漏洞」這件事,既能練功又能合法賺一點零用錢,不會踩到公司兼職規範。
答案就是 —— Bug Bounty 平台。
常見的平台像 HackerOne、Bugcrowd、Synack … 我最後看上 YesWeHack,理由有三:
優勢 | 說明 |
---|---|
🎯 歐盟平台,法規清晰 | GDPR / 個資規範透明,對研究員比較友善 |
🛡️ 合約與 NDA 管控 | 減少「灰色地帶」測試的法律風險 |
💵 任務多元化 | 從政府單位、金融機構到 IoT 都有測試專案 |
這裡我就把 GPT / 本地模型拉進來:
前陣子還在教育部的計畫裡寫報告:
「⚠️ 系統存在 Broken Access Control,請限期改善。」
結果現在換我自己在平台上寫:
「⚠️ Dear customer, I found an IDOR in your API…」
心裡想著:
以前寫報告是給別人改,現在寫報告是為了自己零用錢。