27歲程式設計師轉職賞金獵人:一個漏洞10萬美元,比工資香多了

2020-12-23 InfoQ技術實驗室

Bug 賞金的平均收入是軟體工程師平均工資的 2.7 倍,我們鼓勵你用業餘時間兼職。

6 月 1 日,有報導稱,印度開發者 Bhavuk Jain 向蘋果安全團隊報告了 Sign in with Apple(通過 Apple 登錄)中存在一個零日漏洞,它允許攻擊者遠程劫持任意用戶帳戶,影響嚴重。為此蘋果向 Jain 支付了十萬美元的巨額賞金。

在去年的 WWDC 上,蘋果正式推出屬於自己的第三方登錄服務——Sign in with Apple(通過 Apple 登錄),允許用戶不必填寫表單、驗證電子郵件地址和選擇新密碼從而通過 Apple ID 登陸第三方服務。截至目前,有許多開發者已經將 Sign in with Apple 整合到應用程式中,比如國外的 Dropbox、Spotify、Airbnb、Giphy ,國內的喜馬拉雅、懶飯、廚房故事等。

這名開發者今年才 27 歲,他在一篇博文中聲稱,他於 4 月向公眾披露該漏洞之前,已向 Apple 報告。目前,Apple 已經修復該漏洞,並給他支付了十萬美元賞金,作為 Apple 安全賞金計劃的一部分。

Jain 之前是一位主要使用 React Native 進行行動應用程式開發的全棧工程師。現在,他已轉向成為了一名全職漏洞賞金獵人。

1賞金致富變得普遍

Bug 賞金平臺 HackerOne 在兩年前發布了一份調查報告,涉及到了該平臺上註冊的 1700 名 Bug 賞金獵人,該報告顯示頂級黑客的賞金平均收入是同一國家軟體工程師平均工資的 2.7 倍。

2019 年 8 月,HackerOne 還曾宣布,其平臺的 8 名黑客已成為百萬富翁,其中 19 歲的 Santiago Lopez (@try_to_hack) 於 2019 年 3 月成為第一個百萬富翁。

「現在,英國的 Mark Litchfield (@mlitchfield)、澳大利亞的 Nathaniel Wakelam (@nnwakelam)、瑞典的 FransRosen (@fransrosen)、香港的 Ron Chan (@ngalog)、以及美國的 Tommy DeVoss (@dawgyg) 都已躋身百萬黑客富翁行列,他們都提高了網際網路安全。」HackerOne 當時表示。

來自德國的 Cosmin(@inhibitor181) 和 Eric (@todayisnew) 是今年早些時候(均在 2 月 24 日)公布的第七位和第八位的百萬黑客富翁。

今年 5 月,HackerOne 自豪地宣布:「黑客們通過我們的平臺上進行永久的黑客攻擊,已經賺取了 1 億美元的 Bug 賞金。」

該公司執行長補充說,「由於他們的創造力和堅韌不拔的精神,我們預計,黑客們將在五年內有望獲得 10 億美元的 Bug 賞金。」

HackerOne 僅一年就支付 5000 萬美元賞金。

如下圖所示,支付給黑客的賞金總額從 2014 年至 2016 年的 1000 萬美元增長到 2017 年至 2019 年的 3000 萬美元,並在 2019 年第二季度至 2020 年第二季度達到 5000 萬美元。

在使用 HackerOne 來報告安全漏洞的黑客中,有 12% 能做到每年僅通過 Bug 賞金計劃獲得超過 2 萬美元的收入,而 1.1% 的黑客每年能獲得超過 35 萬美元的賞金,有 3% 的黑客每年獲得超過 10 萬美元的賞金。

HackerOne 表示:「我們用了五年的時間才達到 2000 萬美元賞金的級別,這一數字是在 2017 年第三季度達到的(見下面圖表)。」

「從那以後,事情就真的有了起色,接下來的 8000 萬美元賞金,只花了三年的時間。最近,我們迎來了有史以來最好的一周:僅僅六天,我們就支付了 240 萬美元的賞金!」

漏洞賞金水漲船高,讀到這裡你是不是對傳說中的白帽黑客、Bug 賞金獵人、道德黑客這些群體產生了好奇心?作為一位普通開發者,能在業餘時間從事這些工作嗎?一位來自 Bugcrowd Bug 賞金平臺綽號為 X3n0N 的年輕開發者,分享了他如何作為一位小白獲得 2000 美元的經歷。而另一位開發者 Wineberg ,過去六年一直在兼職做 Bug 賞金獵人,由於賞金可觀,一年半前他轉成全職 Bug 賞金獵人。

2賞金獵人入門

2012 年,還在大學學習計算機科學時,一名綽號為 X3n0N 的年輕開發人員開始涉足 Bug 賞金獵人這一行業。

他通過閱讀網上論壇的帖子和文章,掌握了基本技能,在白帽黑客技術方面進行了嘗試,在各種網站上梳理漏洞,並查看帶有用戶輸入框的網頁以尋找可能潛伏的跨站腳本或 SQL 注入攻擊漏洞。

據戰略與國際研究中心(Center for Strategic and International Studies,CSIS,美國兩大智庫之一,位於華盛頓特區)的數據,當時,造成超過 100 萬美元損失的網絡攻擊只有今天的四分之一。儘管現在有多家平臺促進 Bug 賞金計劃,以及強大的 Bug 賞金社區,但當時並沒有足夠的基礎設施來支持白帽黑客,也就是所謂的道德黑客。

X3n0N 的冒險經歷很快讓他遭到一家大型網際網路服務提供商的起訴。他發現了一個安全漏洞,這個漏洞使得劫持客戶帳戶成為可能,他因此可以更改提供商的任何客戶的寬帶套餐。於是,他給該公司發了一封電子郵件,報告了這一漏洞。他說,該公司沒有 Bug 賞金計劃,因此他沒有要求賞金,只是提醒他們注意這個漏洞,並要求他們確保安全。

但是,該公司收到 X3n0N 的郵件後,一點也不感激。他接著說道,很快,他就開始接到該公司律師的電話,威脅要將他告上法庭。整個事件傳到了他所在院校的校長那裡,這一經歷讓他感到很不愉快。

由於他的行為顯然沒有惡意,所以整個事態很快就平息了。他報告該漏洞的電子郵件為他證明了清白:他的意圖是幫助網際網路提供商更加安全,而不是從中牟利。於是,該公司放棄了訴訟,只要求他正式道歉,並籤署一份保密協議,承諾不會將公司的漏洞公之於眾。

有了那次經歷之後,他變得更加謹慎,但這並沒有阻止他繼續尋找 Bug 的決心。他了解到,有一些公司有官方的漏洞報告渠道,比如 Google。不久之後,他在 Google 的消息服務中發現了一個跨站腳本漏洞,該漏洞允許他通過在電話號碼輸入框中注入 JavaScript 代碼並竊取用戶的 Cookie,從而入侵用戶的帳戶。於是,他向 Google 報告了這一漏洞,Google 為他這一發現支付了 500 美元的報酬。

隨後,他因一次相關的跨站請求偽造攻擊而獲得賞金,儘管這次並不是他報告的,但他上一次的報告有助於 Google 發現這一漏洞,於是 Google 將賞金提高到 2000 美元。X3n0N 對這次經歷感到很高興。「我真的很開心,也很驚喜。」他說,「當我還在讀書的時候,我做夢也沒想到我居然會掙到 2000 美元。」

3從兼職轉為全職 ,賞金獵人回報可觀

Wineberg 在網絡安全行業工作了十一年。過去六年來,他一直在兼職做 Bug 賞金獵人,直到一年半前,他才轉成全職 Bug 賞金獵人。

Wineberg 說:「在過去幾年來,Bug 賞金獵人這一行業真的很流行,如果你有時間的話,還是有很多工作可以做的。我一直認為,如果我肯花時間的話,我就能找到東西。通常情況下,當我拿到報酬時,將時間花在做 Bug 賞金獵人上是值得的。」

當他換工作的時候,碰巧也需要搬家,因此無論如何都需要找一份新工作,所以這似乎是一個很好的機會,可以嘗試全職 Bug 賞金獵人。「我想,如果不成功的話,大不了我還可以再去找工作,」Wineberg 說,雖然他還沒有感覺到再找工作的必要。「到目前為止,我真的很享受這份工作。」

每個星期,他都會挑選幾個目標進行測試,通常是提供 Bug 賞金計劃的公司最近推出的新產品。

Wineberg 表示:「我總是會試著去看一些新的東西,那些之前沒有做過賞金測試的東西,因為在這些東西上總會有最多的發現。通常情況下,我會在我正在考慮的網站上進行半個小時的測試,然後如果它看起來值得做更多的測試,我就會花幾天或一個星期左右的時間,只測試那一個網站……如果我立即發現了一個影響較小的漏洞,那往往是一個好的跡象,說明將會有更多的漏洞出現。」

Wineberg 稱,他把大約四分之一的工作時間花在閱讀安全新聞和其他研究人員發現的漏洞文檔上。這有助於他隨時關注新的漏洞,並了解他缺乏經驗的技術棧。

「有了 Bug 賞金,你所關注的每一個不同的目標幾乎總是使用略有不同的技術來運行其網站或系統,」他說,「通常我會做的是,如果我遇到一種以前不經常使用的技術,我就會回頭尋找任何曾經用這種技術報告過安全問題的人。我會閱讀以前的問題,然後要麼去找那些問題,看看這些問題是否適用於目標,要麼就去想一些新的方法,可能會有所發現。」

有些研究人員也會構建自己的工具,將部分流程實現自動化,這在一開始的時候需要時間來設置,但在以後的工作中會有幫助。這正所謂磨刀不誤砍柴工。Wineberg 有時會注意到自己在重複執行同樣的任務時,就會自己構建工具,但大多數情況下,他並沒有專注於某個特定的方法來充分利用自動化。

「我很喜歡看各種各樣的東西,」他說,「一大堆不同的客戶,一大堆不同類型的漏洞。」

4Bug 賞金可以積累開發技能

對開發人員來說,做 Bug 賞金獵人可以是積累更多技能的一種有趣方式,哪怕他們當作業餘工作來做。

來自 Bugcrowd 的 McCracken 說,「你不會因為漏洞的存在而任由它『漏雨』,你可能在一段時間內不會有任何發現或獲得報酬。但是,你在學習安全方面的所有投資,都會在你的職業生涯、你的理解和構建方式中得到回報,並且會讓你知道如何構建更安全的應用。」

Wineberg 對此觀點亦表示認同。他說:「所有人群都可從中受益匪淺,尤其是當他們是兼職的話。當你全職工作時,你需要有一定的連貫性和策略,並知道你的報酬如何安排。」

開發人員往往不會考慮他們的應用程式的安全性如何,有時候從安全研究的角度來處理自己的應用程式是有益的。

Wineberg 說,「開發人員了解他們的產品是如何運作的,但往往不會去測試已部署的生產實例。在我還是顧問的時候,我們經常與開發團隊一起工作。如果我們發現一個問題,有時候我們會就這個問題對開發人員進行描述,他們會說,『不,它不是這樣工作的,這不是一個問題。』」

Wineberg 接著說,「我們發現,如果給他們對自己的應用程式進行一些攻擊性測試的機會,就像我們在 Bug 賞金計劃中對自己的應用進行一些攻擊性測試那樣,他們就會帶著一堆問題離開。如果你是一名開發人員,它可以讓你深入了解現實世界中的事物是如何運作的。」

5Bug 越來越難被發現,但賞金也在增多

如今,黑客行業發生了翻天覆地的變化。要在大型網際網路公司中發現 Web 應用程式的漏洞,難度在增大,但 Bug 賞金和 Bug 報告計劃也變得更加常見,公司也更願意使用專業的滲透測試(Penetration Testing,也稱為 Pen Tensting)公司的服務。滲透測試公司,就像他們所說的那樣,幫助定位客戶系統中的漏洞,其運作方式與傳統的諮詢公司類似,工作人員專門負責尋找安全漏洞。

Bug 賞金平臺的運作方式有所不同。這些平臺更像是一個市場,為自由 Bug 賞金獵人和對他們的服務感興趣的公司牽線搭橋。它們通過讓公司接觸大量黑客來吸引公司,反過來又通過提供願意為其服務付費的公司名單來吸引黑客。Bigcrowd 於 2011 年作為世界首家 Bug 賞金平臺推出,之後很快就有很多其他平臺紛紛效仿。

Bugcrowd 安全運營總監 Grant McCracken 說:「眾包安全的理念是,如果你進行滲透測試,通常會有一個人做評估。如果你有兩個人進行評估,你可能會發現這樣做比一個人能夠發現更多的東西;而如果有 500 個人的話,那就是指數級增加了,可不是僅靠一兩個人發現所能比的。所以說,它是在利用大眾的力量和零工經濟(gig economy)的可擴展性來滿足網絡安全領域的需求。」

Bug 賞金平臺需要一段時間才能為主流所接受。Katie Moussouris 是另一個早期的 Bug 賞金平臺 HackerOne 的前首席政策官,她在幫助其項目發展的過程中發揮了重要作用。她甚至成功與美國國防部合作,在 2016 年發起了試點 Bug 賞金挑戰賽,名為「Hack The Pentagon」(入侵五角大樓)。逾一千名黑客參與其中,總共發現 138 個有效的安全漏洞。美國政府為此支付了大約 7.5 萬美元。該試點被國防部認為是一次成功的概念驗證。

挑戰賽結束後,時任國防部長 Ash Carter 說:「我們對某些系統和網站的關注者越友好,我們就能發現越多的漏洞,就能修復越多的漏洞,我們就能為我們的戰士提供更多的安全保障。」隨後,該試點項目又陸續發起了入侵陸軍、入侵空軍、入侵海軍陸戰隊的黑客挑戰賽,以及持續的漏洞披露計劃,任何人都可以報告他們發現的漏洞。

在這些努力的推動下,以及在越來越重視安全防範措施的趨勢下,道德黑客的行為已得到更廣泛的接受。Bug 賞金計劃和僱傭黑客的公司現在將他們稱為「安全研究人員」,聽起來更體面。隨著這一舉動成為主流,使得更多的人開始嘗試涉足 Bug 賞金獵人。如今,Bugcroud 平臺上已經列出了大約 14 萬名研究人員。

與此同時,公司越來越重視安全,這使得查找 Bug 變得更具挑戰性。提供滲透測試服務的諮詢公司 Rapid 在其 2019 年度調查報告稱,當滲透測試員被聘請從公司網絡外部測試公司的系統時,他們只有 21% 的時間能夠侵入網絡。成功攻擊公司網站的機率更小,導致公司系統總訪問率只有 3%。

這些數字看上去,可能離理想中的零相去甚遠,但卻令人鼓舞。因為滲透測試人員都是經過嚴格訓練的,能夠入侵系統。這對每個人來說都不啻為一個好消息,但這確實意味著在過去十年裡,成功發現 Bug 並因此獲取報酬的門檻已經提高了。

6熱情好客的社區

考慮到參與者眾多,安全意識也越來越強,發現 Bug 的難度也越來越大,社區還能受到如此歡迎,著實有點令人驚訝。

Wesley Wineberg 具有網絡安全背景,六年來一直從事尋找 Bug 的工作。

Wineberg 稱:「通常情況下,如果我向某人求助,或者想要分享一些技巧,人們真的都會對此持開放態度,而且非常友好。」

他解釋說,研究人員發現的數漏洞,大多都可以歸為幾類,這些漏洞可以通過使用廣為人知並有詳細記錄的技術來發現,比如每年的 OWASP 十大最關鍵 Web 應用安全漏洞榜單上。當然,如果是研究人員自己開發的更複雜、更創新的方法,它就不適用了。

「這裡面存在一個平衡點。如果有人擁有別人無法使用的技術,而他們得到了大量的發現並拿到了可觀的賞金,那他們就不會真的會去分享太多關於這項技術的信息。」Wineberg 說。

但大多數情況下,人們還是願意互相幫助的。儘管有越來越多的人在尋找 Bug,但仍然有很多 Bug 等待被人們發現。

Wineberg 說:「每年都有越來越多的人在做 Bug 賞金獵人,但每年的目標也會越來越多。如果有人想在某個目標需要幫助的話,我會假設這個目標和我這周的目標不一樣,只是因為可供選擇的目標實在太多了。」

除了研究人員之間互相學習之外,對於剛剛入門的新手來說,也有很多資源可供學習。那些掌握基礎知識的人可以有目的地下載不安全的網絡應用程式(因為未經網站所有者的明確許可而入侵網站是聯邦犯罪),還可以跟隨實時黑客教程學習,甚至進行黑客遊戲,該遊戲旨在讓 K-12 年級的學生成為黑客的新秀。

另一個很好的學習方式是閱讀研究人員寫的有關他們成功經驗的博文。2019 年,Teddy Katz 從 GitHub 獲得了 2.5 萬美元的賞金,這是 GitHub 有史以來最高的賞金,之後,他發布了一份詳細的教程,闡述了他是如何發現這一漏洞的。這一漏洞繞過了 GitHub 的授權流程中的檢查。

參考閱讀:

https://www.businessinsider.in/tech/news/indian-developer-earns-rs-75-lakh-for-finding-sign-in-with-apple-bug

https://builtin.com/software-engineering-perspectives/bug-bounty-hunting

https://www.bleepingcomputer.com/news/security/100-million-in-bounties-paid-via-hackerone-to-ethical-hackers/

相關焦點

  • 漏洞賞金平臺HackerOne宣布已向全球白帽黑客支付1億美元賞金
    漏洞賞金平臺HackerOne宣布已向全球白帽黑客支付1億美元賞金 站長之家(ChinaZ.com) 5月29日 消息:漏洞獎勵平臺HackerOne
  • 62歲程式設計師寫漏洞讓僱主重複支付修理費用 最高可判十年監禁
    2幾年後,西門子公司的 IT 人員發現,電子表格頻繁崩潰的原因在於廷利在其背後植入了一個邏輯炸彈,該邏輯炸彈會導致電子表格在特定日期後崩潰。 3該程式設計師遭到起訴,面臨最高十年監禁和 25 萬美元(約合人民幣 172 萬)的指控。
  • 《賞金奇兵3》資深賞金獵人怎麼做 資深賞金獵人全目標位置一覽
    賞金奇兵3資深賞金獵人怎麼做?資深賞金獵人可以說是最難拿的成就了,很多玩家不知道怎麼解鎖,今天帶來賞金奇兵3資深賞金獵人全目標位置一覽,想解鎖的玩家快來看看吧。3 > 正文 《賞金奇兵3》資深賞金獵人怎麼做 資深賞金獵人全目標位置一覽 2020-06-28 15:38:25 即時戰略RTS 人氣值:加載中...
  • 《LOL》10.23賞金獵人怎麼玩 10.23賞金獵人裝備符文選擇推薦
    導 讀 LOL10.23賞金獵人 厄運小姐怎麼出裝?
  • 漏洞賺錢月入上萬?這套路連程式設計師都不敢試
    就拿四月初《福布斯》公布的一則報導來說,一名黑客報告了蘋果公司的MacBook和iPhone相機中存在的7個零日漏洞(Zero Day,攻擊者可以通過這些漏洞竊取和修改用戶資料),蘋果在確認漏洞後獎勵給該名黑客75000美元(一個漏洞就賺夠了首付,是不是有種去做黑客的衝動?)。
  • 駭客揭iPhone相機零時差漏洞 獲蘋果賞金
    (圖/取自免費圖庫Pixabay) 王曉敏/綜合報導 蘋果於去年底在官網上發布了最新的漏洞懸賞給付計劃,據外媒報導,蘋果近日已向一名駭客支付了7.5萬美元獎勵,因該名駭客於Safari中發現了多個零時差漏洞(zero-day vulnerability,又稱作零日漏洞),其中一些漏洞可用於劫持iOS或macOS
  • 《諸神皇冠》百年騎士團獵人轉職攻略 獵人怎麼轉職為大劍士
    導 讀 最近很多諸神皇冠百年騎士團的玩家都不會把獵人轉職為大劍士,所以今天小編就為大家介紹一下獵人的轉職攻略吧
  • [圖]谷歌擴大Chrome漏洞獎勵計劃:最高賞金3萬美元
    Chrome 漏洞獎勵計劃(VRP)自 2010 年啟動以來,得到了很多安全研究人員的踴躍參與,通過報告存在於 Chrome 和 Chrome OS 中的漏洞來賺取賞金
  • 《星球大戰》賞金獵人波巴·費特古董玩具拍賣22.5萬美元 因考慮...
    近期,一款1979年的《星球大戰》賞金獵人——波巴·費特(Boba Fett)古董原型玩具在Ebay上進行了拍賣,目前該玩具的售價為22.5萬美元,免郵費。拍賣者附加了一個Youtube視頻,以展示玩具的風貌。
  • 賞金獵人可以做什麼?
    2020年7月7日我們有幸邀請到心耳在線的創始人吳總來為我們做了訪談,吳總就心耳平臺的前景,以及為什麼人們會選擇心耳做了說明,最主要的是為我們介紹了心耳的賞金獵人可以做什麼。內容如下:小耳:吳總歡迎您的到來,對於心耳平臺的前景您有什麼看法?
  • 出手最闊綽的遊戲公司,玩家找到一個BUG,就獎勵14萬?
    最近幾天,微軟的安全響應中心(MSRC)推出了有關Xbox遊戲平臺的漏洞賞金計劃。官方表示不管你是遊戲玩家還是職業安全專家,都可以向新的Xbox BUG 賞金計劃提交你所找到的Xbox Live網絡和服務中的漏洞。
  • 黑客通過Windows 10漏洞在48小時內賺了13萬美元
    黑客通過Windows 10漏洞在48小時內賺了13萬美元由於冠狀病毒影響生活的方方面面,黑客破壞Windows並賺大錢。隨著冠狀病毒大流行加強了控制,越來越多的人在家工作。加利福尼亞州,紐約州和伊利諾州均已籤發留在國內的訂單。
  • 微軟已花費1370萬美元獎勵產品漏洞發現者
    原標題:疫情下找茬員反覆推敲代碼,微軟花費 1370 萬美元獎勵漏洞發現者微軟公司當地時間本周二表示,在截至 2020 年 6 月 30 日的 12 個月裡,該公司已經花費 1370 萬美元獎勵產品漏洞發現者,比上一年度同期的 440 萬美元多出逾兩倍。微軟直言,疫情封鎖限制措施在此間扮演了極其重要的角色。因為找茬員被迫呆在家裡,同時又面臨失業風險,於是開始反覆推敲微軟的代碼。在疫情爆發的前幾個月裡,研究人員參與度明顯增強,漏洞報告數量不斷增加。
  • 《黑粉》《賞金獵人》僕街 中韓合拍還好嗎?
    單在過去幾天,就有《所以……和黑粉結婚了》(以下簡稱《黑粉》)、《賞金獵人》、《魔輪》以及《忍者神龜2:破影重來》等多部不同類型的電影先後上映。經過首周末的市場檢驗,兩部中韓合拍片《黑粉》和《賞金獵人》在同期諸多部好萊塢影片中(如《獨立日:捲土重來》、《驚天魔盜團2》等)算是佔據一席之地———上映以來,單日票房成績始終位列前五。
  • 《荒野大鏢客OL》賞金獵人活動開啟 所有賞金獵人裝束和表情動作五折
    所有於本週遊玩在線模式的玩家都可獲取1000賞金獵人經驗值和100發中空連發步槍子彈。歡迎您外出並用您認為合適的方式將這些亡命之徒和罪犯繩之以法。另外,原本的 10 名傳說懸賞目標也提供額外50% RDO遊戲幣獎勵。 折扣:在出發追捕不足為懼的重罪犯之前,您不妨先武裝自己。現已推出一連串的賞金獵人折扣和促銷,截至 1 月 18 日,其中包括賞金獵人證 5 根金條減免優惠、所有賞金獵人裝束和表情動作五折優惠及更多內容。
  • 《荒野大鏢客2》在線模式賞金獵人怎麼打 在線模式賞金獵人打法攻略
    導 讀 荒野大鏢客2在線模式賞金獵人打法攻略 荒野大鏢客2在線模式遊戲中共有4種不同的職業,賞金獵人是其中比較強力的快速賺美金和金條的職業
  • 劍與遠徵賞金獵人好用嗎 賞金獵人值得培養嗎
    劍與遠徵賞金獵人好用嗎?劍與遠徵賞金獵人值得培養嗎?劍與遠徵賞金獵人怎麼樣?劍與遠徵手遊是一款放置卡牌遊戲,想必有不少的小夥伴們都想知道吧,下面是劍與遠徵賞金獵人分析,感興趣的小夥伴們一起來看看吧。
  • 《荒野大鏢客2》賞金獵人玩法小技巧詳解 手把手教你賞金獵人怎麼玩
    《荒野大鏢客2》賞金獵人玩法小技巧詳解 手把手教你賞金獵人怎麼玩時間:2020-02-05 17:55   來源:遊俠網   責任編輯:沫朵 川北在線核心提示:原標題:《荒野大鏢客2》賞金獵人玩法小技巧詳解 手把手教你賞金獵人怎麼玩 荒野大鏢客2賞金獵人怎麼玩?
  • 《荒野大鏢客2》賞金獵人的狗怎麼應對 刷賞金獵人技巧速Get√
    :原標題:《荒野大鏢客2》賞金獵人的狗怎麼應對 刷賞金獵人技巧速Get 荒野大鏢客2賞金獵人的狗怎麼應對?遊戲中,賞金獵人的狗是一個非常難應對的東西,今天小編給大家帶來大鏢客2刷賞金獵人技巧分享,快來看一下吧。
  • 《騎馬與砍殺》戰團賞金獵人兵種怎麼樣 戰團賞金獵人兵種介紹
    導 讀 【九遊攻略】騎馬與砍殺戰團賞金獵人兵種怎麼樣?