猎洞20年老兵的经验之谈
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
Hacking 老兵 @ralamosm 已猎洞20多年。他是HackerOne 平台上的“最有价值黑客 (MVH)”,也是阿根廷榜单上的常客,他激励着人们去突破去主动学习。Hacking 之余,ralamosm 或陪伴家人或阅读漫画书或打乒乓球。下面就让我们跟随他的脚步学习如何挖掘自己的潜力并将之变成漏洞奖励吧!
Q:你的用户名有什么故事吗?
我用的就是自己的名字。
Q:你 hack 的动机是什么,为何要通过漏洞奖励 hack for good?
从自我表达方面来讲,我只做自己热爱的事情。幸运的是,自己热爱的事情会得到丰厚回报,而且这件事还能让我完全独立,这就更好了。
Q:作为拉美地区的黑客,通过漏洞奖励实施 hacking 的好处是什么?
漏洞奖励让位于拉美地区的黑客能够获得很好的机会,抵达通过普通工作无法企及的高度。
Q:什么样的计划是令人兴奋的目标?
他们对漏洞报告的响应,以及奖励金额。
Q:什么是你继续参加某项计划的决定性因素?
自己的漏洞报告会被认真对待的计划。
Q:你决定不再参加某项计划的原因是什么?
响应速度缓慢,几个月也不修复漏洞,所以会不断出现有重复的漏洞报告。
Q:你建议一次参加多个计划还是仅关注某项计划以及为什么?
一切取决于你自己的做事方式。我一般只集中于一项计划并试图从中学习尽可能多的东西。同时,我会时不时地回看几个其它计划。
Q:当你hack 某项资产时,是仅关注一种漏洞攻击场景还是关注多种漏洞类型?
我对高危/严重漏洞感兴趣,每个漏洞奖励计划中这些漏洞的情况可能不尽相同。不过如果我找到的是其它级别的漏洞,我也会报告。
Q:你了解漏洞新趋势的网站、博客、文章或其它资源是什么?
我会推荐 HackerOne Hacktivity,并且尽可能多地追踪研究员/漏洞猎人的推特账号。
Q:你认为新企业设立漏洞奖励计划时应做什么?
在设立漏洞奖励计划前,先在 HackerOne 网站上进行渗透测试,修复容易发现的漏洞。
Q:你有自己的偶像吗?全球性的或者当地的,激励你不断前进的导师?
我猎洞的时间很长,我想感谢那些在20多年前在 Phrack 黑客杂志写文章或西班牙语杂志 SET 写文章的前辈,正是你们的文字将我引向这个美好的活动。
Q:你对下一代黑客有哪些建议?
我的建议和20多年前那些前辈的教诲无异;曾经我们的资源少之又少,而现在十分丰富。利用好这些资源,不断实践,你就会成功。
Q:你最后想分享点什么?
我想对黑客朋友们分享的最后一个建议是,我印象最深的是很多黑客甚至不会尝试那些奖励5位数的计划,以为这些计划太难了或者自己不可能实现。千万不要这么想。先在精神上鼓励自己,然后疯狂努力,直至顶峰。你可能不会实现这个目标,但毫无疑问,取其上者得其中。正是这种信念让我不断到达新的高度,甚至是拿到了平生第一个“最具价值黑客”的称号,而这些是我刚参加 HackerOne 活动时想都不敢想的。
推荐阅读
追风猎洞只能喝西北风吗?
聊聊猎洞的残酷真相:一腔孤勇,为爱发电
猎洞如解谜,乐无穷
沙场白帽老兵聊未来的挖洞方向及其它
原文链接
https://www.hackerone.com/blog/hacker-spotlight-ama-ralamosm
题图:Pixabay License
文内图:网络
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
猎洞20年老兵的经验之谈相关推荐
- 4年猎洞赚百万美金:谈谈我的入门和成功经验
本文作者Ozgur Alp 是一名土耳其的独立漏洞猎人兼攻击安全顾问.他在四年的时间里通过挖掘漏洞赢得100万美元的奖励,以下是他对自己个人经验的总结,奇安信代码卫士团队编译如下,希望能给读者带来一些 ...
- 聊聊猎洞的残酷真相:一腔孤勇,为爱发电
聚焦源代码安全,网罗国内外最新资讯! 你是否身陷猎洞或网络安全研究困境?这里可能有你想要的答案. 安全圈子的猎洞获奖金的新闻扑面而来,仿佛"白帽黑客"这几个字都自带光芒,闻起来都 ...
- 猎洞高手Orange Tsai 亲自讲解 ProxyShell write-up
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 2021年4月,DEVCORE 研究团队成员 Orange Tsai 在Pwn2Own温哥华大赛上演示了位于微软 Exchange 中的一个远程 ...
- 追风猎洞只能喝西北风吗?
聚焦源代码安全,网罗国内外最新资讯! Pedro Worcel(即 @benteveo)在 IT 行业已经摸爬滚打了十多年.他曾是 Java.PHP.Python 和 C++ 开发员,也曾开发过多款 ...
- 从业余挖洞到微软漏洞研究员,我的遗憾、惊喜和建议
聚焦源代码安全,网罗国内外最新资讯! 作者:Abdulrahman Alqabandi 编译:代码卫士 本文作者目前是微软的一名漏洞研究员,他讲述了将挖洞当作爱好和当作职业的笑与泪,以及一些建议忠告 ...
- 猎洞高手轻松变身Gsuite 超级管理员接管他人的 Gsuite 账户
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 在谷歌猎洞排行榜名列第二的研究员 Cameron Vincent 详述了如何将自己添加到任何组织机构 Gsuite 账户的超级管理员并接管该组织 ...
- 无线路由器挖洞方法大比拼:白盒 or 黑盒?
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 ZDI 发布博客文章,比较了黑盒和白盒挖洞方法的优劣.如下是对文章的编译. 去年,我们披露了两个认证绕过漏洞 ZDI-20-1176 ...
- Black Hat USA 2021主议题介绍
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 2021年美国黑帽大会于当地时间7月31日至8月5日举行,议题包括19个领域,包括:人工智能.机器学习和数据科学,AppSec,应用安全, ...
- 17岁高中生详述如何攻破 GitHub Private Pages 并获$3.5万赏金
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本文作者是一名17岁的美国高中生,在本文中他详述了自己和16岁的好友@ginkoid如何发现并报告 GitHub Private Pa ...
最新文章
- Backlog和冲刺结果以及产品Demo市场调研
- php5 函数,2017PHP5函数大全
- mybatisplus代码生成器_想做时间管理大师?你可以试试Mybatis Plus代码生成器
- 使用mysql备份工具innobackupex进行本地数据备份、恢复操作实例
- Vite + React 组件开发实践
- 测试-LoadRunner
- 【Docker系列教程之三】Docker容器是如何工作的
- Spring+Mybatis+MySql+Maven 简单的事务管理案例
- win10怎么在网络里查看win7计算机,网络共享中win7能找到win10,但win10找不到win7
- C++之类和对象的关系
- 【汇编优化】之linux下如何利用gdb调试汇编代码
- nginx通过反向代理实现未备案域名访问详解
- 贺利坚老师汇编课程34笔记:SI和DI复制字符串
- 【蓝桥杯单片机11】单总线温度传感器DS18B20的基本操作
- pd虚拟机 17.1.2 Intel核心Mac专用版
- OSI七层模型与TCP/IP五层模型
- 武汉大学计算机学院徐霜,物联网工程专业建设与实践教学研究_余琍
- 逻辑清晰四个实用原则(金字塔原理)
- 数据安全管理条例明确个人信息保护 360呼吁隐私保护重在企业
- 免费图片验证码识别方法,支持旋转图片识别