Gitlab是最着名的一个完整的开源Devops平台,作为单个应用程序交付,但它还提供强大的项目管理和协作功能。事实上,每个Gitlab团队都使用Gitlab在项目,流程和程序上开发,追踪和协作。

但是,呢?其他用途是什么?例如,......例如,黑客攻击。♀️

Gitlab可以帮助黑客微调他们的工艺吗?通过我们的问黑客AMA系列我们发现有一些错误赏金猎人使用Gitlab来简化他们的研究过程。而且,如同许多酷炫和令人敬畏的事情,我们在推特上了解了一个使用Gitlab用于Bug Bounty狩猎的另一个贡献者。所以,我们跟进了解更多信息。

遇见我们的黑客

亚历克斯查普曼

亚历克斯查普曼

亚历克斯专业一直在黑客攻击,但他的兴趣在此之前感到激烈。

@ajxchapman在gitlab.@ajxchapman在hackerone上@ajxchapman在推特上

多米尼克装扮

多米尼克装扮

多米尼克是Gitlab的高级安全工程师应用安全团队并一直在黑人攻击大约20年,尽管他承认有一些“中间的长时间,他没有做太多”。

@dcouture在gitlab上@dcouture在hackerone上工作时和Dee-See在Hackerone上玩!Dee__see在推特上

南部的jain

南部的jain

Nishant一直在黑客攻击1.5岁,目前正在努力Linkshare.,一个平台,使用户能够分享和分类Bug借助资源。Gitlab上的@ archerl在Hackerone上的@Archerl@realarcherl在推特上

你如何在你的黑客中使用gitlab?

亚历克斯:我使用Gitlab了解我的所有Bug Bounty问题,通过Discovery,PoC开发和报告写作。在Bug狩猎中我最大的最大的启示之一涉及说明。我曾经在追捕虫子时录制我的想法,进步和想法是可怕的。这意味着每当我被散步,或休息一下,我都会忘记我所做的事情以及我正在努力的引导。

现在我录制了在Gitlab问题中可以的所有内容。有一个随意思考要检查的东西吗?为此创建一个问题。在追求另一个错误时发现一个潜在有趣的功能?创建一个问题。在淋浴时获得灵感?那是对的,出去淋浴并创造一个问题。即使我认为当时不太特别有用,它有时会几天稍后引发一些东西,我可以回去找到这些笔记。我用一个标签标记每个问题,指定它是什么样的问题(错误,任务,铅等),我觉得它的觉得如何完成,以及我认为需要多少努力。这样我完成了我当前的错误探索路径时,我还有一整负载,我可以回到并挑选并调查。

在每个错误狩猎会话结束时,我总是确保我需要五到十分钟来写下任何出色的想法,所以Bug狩猎会话之间没有丢失。这种工作方式意味着我总是有一个可以调查的东西的管道,当我在半夜醒来时用新想法醒来时如何利用一些东西,我可以加入现有问题并将其推迟到早晨。虽然之前,我可能已经起身开始并立即开始工作。这几天对我来说并不是那么可行,我当然变老了,我需要睡觉

由于一个问题从导致到据报告的错误进行了进展,我用Bug Bounty程序报告状态标记问题,最后作为错误的错误,我将问题标记了支付金额。这有助于跟踪利润丰厚的程序和功能以促进未来的研究。

编者的注意事项:潜水甚至更深入亚历克斯如何接近Bug狩猎,看看他的“问黑客”个人资料博客新利18官方网站和这个问我什么会议我们和他在一起,他谈到了从激励他开始黑客攻击他喜欢捕猎的错误的东西。

多米尼克:我使用Gitlab私人项目与朋友在黑客项目中与朋友合作。我们的方法很简单:每个关于探索潜在有趣的事情的想法获取自己的问题,然后我们通过评论线程,不同的攻击向量和我们尝试以及我们的尝试是否有效地讨论。使用Markdown格式,使用屏幕截图或代码片段记录。当我们找到它报告的东西和〜据报道标签将应用。当Bug赏金计划或我们完成探索一个想法并找不到任何东西时,该问题都关闭了该问题。这有助于我们收集所有想法,验证它们并排除我们可以在继续之前思考的所有可能性。

另一部分显然是Git存储库。我们提出的任何脚本,都发现的任何重要文件,或者任何与一个特定问题无关的任何一般性都会被推动,以确保它不会随着时间的推移被遗忘。我有一个有趣的目标,即我喜欢将一个月或两个旋转关注一个月,所以我可以让他们的全部关注和深入。这意味着给定的目标通常将每年一年或两次聚焦,并且之间的长时间持续时间。存储库包含所有的事情,我肯定会忘记,并会帮助我恢复速度。

南美洲:就像所有伟大的事情一样,我们偶尔通过互联网偶然发现了我们的下一个贡献者的故事。Twitter确切地说

我一直在使用gitlab我的新利18官方网站,我发布关于Bug奖金的详细信息,CI / CD功能真的很容易使用。我选择了Gitlab举办我的CTFS.和攻击Pocs因为Gitlab表明它与黑客友好(Kali Linux甚至托管在Gitlab上)和与网上IDE,我可以从存储库本身编辑它们。

最近,我一直在使用Gitlab与其他黑客合作Hackerone计划。通过启用Hackerone的赏金分割功能,两个黑客可以在单个报告中轻松协作。在Gitlab中,您可以构建一个组,然后为其添加存储库。您应该为每个存储库提供与单个Hackerone程序对应的名称。

设置项目名称的屏幕截图为不同的H1程序创建存储库

你可以创建问题在“问题”选项卡中,就像开发人员一样,并将其标记为自定义标签。不仅如此,还可以将问题委托给协作者,将通过电子邮件通知谁 - 如果黑客在不同的时区中,方便。此外,诸如组许可设置的特征允许引入带/不受限制的附加黑客。

屏幕截图说明了共享程序的问题的创建使用自定义标签创建问题

此外,Gitlab还可以轻松跟踪问题发行委员会。板功能使其简单地跟踪报告,如其中位于分类阶段,哪个被标记为信息或关闭。此外,如果将来发生类似的错误,我们仍然可以交叉引用它,就像在创建真实应用时一样。董事会对我来说是一个较新的发现,所以我仍然需要在这里做更多的探索。

发行板的屏幕截图易于跟踪问题板问题

我们应该改进什么,所以你可以更好地破解?

亚历克斯:我写在马克下来,很多。不幸的是,Gitlab在Repos,Wiki或问题中的写作或编辑大型市场文档并不是很友好。我的写作风格意味着我对问题或维基页面进行多次编辑,并且必须滚动通过墙壁的墙壁来编辑一半通过页面的细节特别痛苦。很高兴看到Markdown编辑成为Gitlab的第一类,或者至少让我在Wikipedia上的标题下只编辑代码块或文本。

编辑注意事项:好消息!我们有一些非常重要的计划,让Gitlab更轻松地制作标准编辑。你可以看看并遵循这个史诗在维基实施新编辑器并回顾我们新WYSIWYG Markdown编辑的策略看看商店里有什么。

多米尼克:我常常在随机的地方有良好的黑客想法,无论是在杂货店的水果过道中间还是与我的狗一起运行,当发生这种情况时,我会注意到我的Gitlab项目中的想法。在页面布局和性能方面,移动体验并不是最好的,因此改善了这一点。

我认为我最大的布局宠物Peeves可能很容易修复,所以我计划自己努力,因为我的前端技能留下了很多,每个人都可以贡献!!

南美洲

选择模板类型的屏幕截图创建并选择不同的模板以提高效率

我不确定是否存在这样的功能,但如果我们可以在创建文件时构建自定义模板,那么在制作类似报告时会节省大量时间。

编辑注意:我们有问题和合并请求描述的模板。也许那些帮助?

南美洲:我明白了,我认为问题模板解决了问题。

另外,不和谐挂钩集成。

编者的注意事项:我们有一个discord webhook集成。那会工作吗?

南美洲: 好的!我错过了这个!我不认为我可以想到现在可以改善Gitlab,虽然我上面所说,我喜欢那里的落后一体化或兼容Hackerone和Github平台的标准。

Gitlab功能有什么帮助您在攻击中最多?

亚历克斯:如上所述,Gitlab Iissue跟踪是我在我的错误狩猎工作中对Gitlab的主要用途,但我真的很喜欢,我可以链接到存储库中的代码和Pocs,并在Wiki中保持长期注释。我依靠项目子分组功能来保留我正在处理的各种错误赏金计划和范围项目,我正在组织和整洁。

我发现这个设置在与其他Bug Hunters合作时尤其好。我只需创建一个共享项目,我们都可以协议并更新问题,文件和Wiki。这比依靠Slack或Google文档为合作,这有点更好,它有助于保持更具组织的,并且比不断搜索松弛日志更容易找到。

多米尼克:Gitlab问题和周围的所有管理工具都是我获得最大价值的地方。他们帮助我跟踪可能成为漏洞的所有想法,并使合作和共享容易。Gitlab标签允许我在主要问题页面上快速浏览并查看每个问题的状态。

为这篇文章做出贡献让我反思了我如何在我的错误赏金狩猎工作和使用中获得更多的Gitlab。发行权重估计调查每个想法所需的工作量和里程碑为了规划我想要在特定的黑客会议中掩盖的想法可能会对我的工作流程改进。

南美洲:我很欣赏用户可以制作流程图虽然,具有强大的Gitlab Markdown(并非所有功能都支持的模板),但也许添加该功能是一个功能建议!)。我还使用自定义功能,如海关选项卡,电路板,列表等。更不用说太棒了文件对于所有功能。

Gitlab如何帮助黑客?

您是否在您的黑客中使用Gitlab,无论是如何跟踪赏金的想法或与来自世界各地的其他黑客合作,或者也许要跟踪两者之间的所有位数?我们很想听到它!在@gitlab宣传我们或在下面的评论!

有一个问题你问一个黑客?

如果你想深入了解黑客的思想,请加入我们即将询问黑客AMA威廉保龄球,@Vakzz在UTC 23:00在2021年6月16日(见这个世界时钟转换为您的时区)。得到所有的活动详情并注册

6月16日艾玛与威廉保龄球

尝试所有Gitlab功能 - 免费30天

Gitlab不仅仅是源代码管理或CI / CD。它是一个完整的软件开发生命周期和Devops工具在一个应用程序中。

尝试Gitlab免费
18新利赢钱

尝试18luck mx 无风险30天。

不需要信用卡。有问题吗?联系我们。

gitlab x图标svg