en
new
0
Avatar
Quốc Bảo Nguyễn @nqubao1312
0 0 2
Published 34 phút trước 3 min read
6

Từ Zero Trở Thành Bug Bounty Hunter: Hành Trình Của Mình Sau 1 Năm Loay Hoay

MayFest2026

Mình bắt đầu học Bug Bounty cách đây hơn 1 năm. Lúc đó đúng nghĩa là con số 0 luôn, chỉ biết code web bình thường, chẳng có mentor hay nền tảng bảo mật gì cả.

Có giai đoạn mình nản lắm. Test cả tuần không ra bug gì, toàn bị duplicate với “Not Applicable”.

Nhưng giờ nhìn lại thì thấy nếu kiên trì và học đúng cách thì ai cũng có thể bắt đầu được.

Bug Bounty là cái quái gì?

Nói dễ hiểu là bạn được công ty cho phép test lỗ hổng trong phạm vi họ công bố (scope).

Tìm được bug thật, báo cáo rõ ràng thì họ trả tiền. Mình thấy có hunter Việt Nam kiếm vài trăm đến vài chục nghìn USD mỗi năm.

Quan trọng nhất là phải chơi đẹp, tuân thủ scope. Không phải đi hack lung tung đâu.

Hành trình của mình

(mất khoảng 4 tháng mới có report valid đầu)

Tháng đầu — Loay hoay với nền tảng

Mình học:

  • HTTP
  • Headers / Cookies / Session
  • JavaScript cơ bản để hiểu flow

Mình làm PortSwigger Academy gần như hết lab miễn phí.

Có hôm ngồi cả buổi chỉ để hiểu một cái request/response.

Tháng 2–3 — Tập trung sâu vài lỗ hổng

Mình chọn:

  • IDOR
  • XSS

vì thấy hai cái này gặp khá nhiều.

Mình test lung tung trên Bugcrowd và Intigriti.

Có lần mình tưởng tìm được bug lớn, mừng run run viết report… cuối cùng bị duplicate vì có người report trước mình đúng 2 tiếng.

Lúc đó bực thật sự.

Tháng 4 trở đi — Bắt đầu thực chiến hơn

Mình dùng Burp nhiều hơn, học recon subdomain, ffuf endpoint.

Rồi mới nhận ra:

recon chán thật, nhưng nhiều bug ngon lại nằm ở những chỗ ít người để ý.

Mẹo nhỏ mình hay dùng

Ưu tiên chọn:

  • scope rộng
  • payout không quá cao
  • phản hồi nhanh

Target quá to kiểu Google hay Meta để dành cho pro. Newbie như mình lúc đầu nhảy vào dễ nản lắm.

Quy trình test mình đang dùng

  1. Recon subdomain + tìm endpoint
  2. Dùng Burp crawl và tự mapping chức năng
  3. Test từng loại lỗ hổng có hệ thống
  4. Reproduce bug nhiều lần cho chắc
  5. Viết report thật rõ

Phần report cực kỳ quan trọng.

Mình học bằng cách đọc hàng chục report public trên HackerOne Hacktivity.

Những thứ mình học được sau 1 năm

  • 3–6 tháng đầu bị reject liên tục là chuyện bình thường
  • Đừng cố học hết OWASP Top 10 ngay
  • Tập trung sâu 1–2 loại lỗ hổng trước
  • Tham gia cộng đồng để hỏi khi kẹt
  • Duplicate nhiều cũng là một kiểu tiến bộ 😅

Tài nguyên mình dùng nhiều nhất

  • PortSwigger Web Security Academy
  • Real-World Bug Hunting — Peter Yaworski
  • YouTube: NahamSec, STÖK
  • HackerOne Hacktivity

Kết

Bug Bounty không phải cách kiếm tiền nhanh đâu.

Có tháng mình test hoài không ra gì, chán muốn bỏ luôn.

Nhưng đổi lại, nó giúp mình nhìn code khác hẳn và cẩn thận hơn rất nhiều khi làm dự án thật.

Nếu bạn đang muốn bắt đầu thì cứ thử đi. Dành đều 1–2 tiếng mỗi ngày là đủ để tiến bộ rồi.

bugbounty WebSecurity UncodeTheMindset

All Rights Reserved

Table of contents


Viblo
Let's register a Viblo Account to get more interesting posts.
Register