Master Recon in Bug Bounty (2026) 🔥 | Complete Beginner to Pro Guide
三句話摘要
Bug Bounty 實戰偵查(Recon)完整流程:從理解目標商業邏輯到工具鏈組合,系統性建立攻擊面地圖。 --- Bug Bounty 的核心競爭力在於比別人更深入理解目標應用的商業邏輯與請求結構,工具鏈只是把這份理解系統化、規模化的手段。 1. 商業邏輯理解是一切的前提
重點整理
重點- 1
1. 商業邏輯理解是一切的前提
- 2
在接觸任何工具之前,必須先弄清楚目標是什麼公司、提供什麼服務。以 Shopify 為例,它是讓商家開店的電商平台,這意味著會有商家帳號、消費者帳號、邀請流程、訂單系統等功能區塊,知道這些才能預判哪裡容易出漏洞。
- 3
2. 從 Hacktivity 反推測試方向
- 4
查閱 HackerOne 上該計畫的公開漏洞報告,能快速掌握這個目標歷史上出現過哪些類型的問題(如 GraphQL 問題、IDOR、Reflected XSS、Broken Access Control),讓測試從「廣泛掃射」變成「有根據的定向挖掘」。
- 5
3. 真正的 Recon 是理解每一個請求,而不只是跑工具
- 6
大多數初學者以為 Recon 就是跑 subfinder 收子域名,但講者強調:建立帳號後攔截所有請求、理解每個 API 路徑、每個 header 與參數名稱,才是偵查的核心。他曾在密碼重設請求中發現重設連結可被替換,進而製造帳號接管漏洞。
- 7
4. 工具鏈有明確的順序邏輯
- 8
子域名收集 → 去重 → 存活探測 → 歷史端點抓取 → 參數過濾 → 目錄爆破,每個工具在鏈條中有其定位,目的是從廣到深逐步聚焦攻擊面,而不是隨機使用工具。
- 9
--
實用技巧與重點
乾貨- 工具名稱與作者:
- `subfinder`(projectdiscovery)
- `assetfinder`(tomnomnom)
- `finddomain`
- `sublist3r`
- `httpx`(projectdiscovery)
- `waybackurls`(tomnomnom)
- `waymore`(xnl-h4ck3r,即 xnl 開頭的 GitHub 帳號)
- `gf` + GF Patterns(tomnomnom)
- `ffuf`(目錄爆破)
- Burp Suite(請求攔截與重放)
- 具體指令:
- 子域名去重:`cat asset.txt finddomain.txt xyz.txt | sort -u > x.txt`
- 歷史端點:`cat subs.txt | waybackurls > urls.txt`
- GF 過濾 XSS 參數:`cat urls.txt | gf xss`
- GF 過濾 Open Redirect:`cat urls.txt | gf redirect`
- Google Dork 技巧:
- `site:shopify.com *` → 列出所有 Google 已索引的子域名
- 可以用 `site:join.collabs.shopify.com` 進一步縮窄範圍
- 平台:
- HackerOne(計畫規則、Scope、Hacktivity 公開報告)
- loreo.shop(講者自己的課程平台,含 AI 問答、社群、1-on-1 教學)
- 真實案例關鍵數據:
- 案例類型:密碼重設流程中的 Host Header / 連結注入 → 帳號接管(Account Takeover)
- 方法:將重設信中的連結參數替換為攻擊者控制的域名,受害者點擊後 token 被截走
- 多帳號測試策略:
- 需建立所有帳號類型(個人帳號、企業帳號、低權限帳號)
- 以低權限帳號攔截高權限操作的請求,測試 Broken Access Control
- --
結論
結論“Bug Bounty 的核心競爭力在於比別人更深入理解目標應用的商業邏輯與請求結構,工具鏈只是把這份理解系統化、規模化的手段。”
完整解析
詳細這支影片系統性地示範 Bug Bounty 偵查(Recon)的完整實戰流程,講者以 HackerOne 上的 Shopify 計畫為主要範例,帶出一套可複用的方法論。
在動手之前,講者強調最先要做的是「理解目標的商業邏輯」。他建議直接閱讀 HackerOne 計畫頁面上的描述,然後去 Google 搜尋更詳細的公司背景:Shopify 是一個讓商家在網路上開店的電商平台,支援多管道銷售。這個認知非常關鍵——只有知道應用程式「是什麼」,才能推斷它會有哪些功能模組(商家帳號、邀請流程、訂單管理、付款系統),進而預判哪些地方最容易出現安全問題。接著要仔細閱讀計畫的測試範圍與規則,明確知道哪些域名在範圍內、哪些漏洞類型被接受,避免在無效目標上浪費時間。
理解目標後,下一步是透過 HackerOne 的 Hacktivity 頁面研究歷史漏洞。講者建議篩選該計畫的公開報告,觀察過去曾出現過哪些類型的問題——例如 Shopify 歷史上就有人回報過 GraphQL 問題、IDOR、Reflected XSS、HTTP Response Splitting、員工權限繞過、合作夥伴邀請流程漏洞等。這樣的研究讓測試者知道這個應用的「漏洞生態」,能把後續精力集中在類似的攻擊向量上,而不是從零開始盲目測試。
接下來是最核心的環節:建立帳號並在 Burp Suite 中攔截所有請求。講者示範建立 Shopify 帳號的過程,強調在每一個操作步驟(點按鈕、填表單、送出請求)時都要停下來看 Burp 攔截到的內容,理解 API 路徑、請求方法、header 結構與參數名稱。他特別指出,很多請求在頁面載入時就自動發出(如分析追蹤請求),這些對漏洞挖掘沒有意義,需要學會過濾。真正有價值的是功能性請求——例如帳號建立、密碼重設、用戶邀請等。他分享了一個親身案例:在某應用的密碼重設流程中,發現重設連結被包含在請求參數裡,透過將其替換為自己控制的域名,成功讓被攻擊者點擊連結後將 token 洩漏到攻擊者的伺服器,實現帳號接管。此外,如果目標有多種帳號類型(如 Uber 的個人帳號與企業帳號),每一種都要建立並操作一遍,因為不同角色之間的權限交叉最容易產生 Broken Access Control 問題——用低權限帳號重放高權限帳號的請求,看是否能成功執行。
最後是工具鏈的系統性執行。子域名收集使用 AssetFinder、FindDomain、Subfinder,並搭配 Google Dork(`site:shopify.com *`)補充發現,收集後透過 `sort -u` 去重合併成單一清單。接著用 WaybackURLs 或 Waymore 抓取這些子域名的歷史端點,再透過 GF Patterns 過濾出含有 XSS、Open Redirect 等敏感參數的 URL,作為後續測試的優先目標。對於想要找未公開頁面的情境,ffuf 可以對感興趣的子域名進行目錄爆破,找出返回 200 OK 的隱藏路徑。整個工具鏈的設計邏輯是從廣到深:先最大化收集攻擊面,再逐步聚焦到最可能有問題的端點,而不是隨機使用工具或盲目地跑掃描。
---
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
