追风猎洞只能喝西北风吗?
聚焦源代码安全,网罗国内外最新资讯!
Pedro Worcel(即 @benteveo)在 IT 行业已经摸爬滚打了十多年。他曾是 Java、PHP、Python 和 C++ 开发员,也曾开发过多款软件解决方案,最为有名的要数开源工具 droopescan。在任职安全顾问期间,Pedro 为多家大型私企和政府机构开展渗透测试,并最终创立了自己的公司,和妻子一同经营。在2014年加入 HackerOne 以来,@benteveo 已发现很多高危或严重漏洞,其中不乏远程代码执行、服务器端请求伪造、XSS 和 XML 实体注入等。他被 Verizon Media 评为年度黑客,被另外一家非公开计划评为顶级黑客,也获得参加现场 hacking 活动的邀约。
关注并追踪猎洞风向是猎洞捷径吗?
如下是 HackerOne 平台的访谈录,希望能给读者带来一些关于猎洞方面的启发。
(南美洲一种名为 "benteveo" 的鸟)
这个昵称有什么故事吗?
Benteveo 是南美洲非常常见的一种鸟。妻子 Gabi 和我选择将它作为公司名称是因为它对我们弥足珍贵,而且我们认为这种鸟的很多行为以及以 bug 为食的习惯和我们所做的很搭。
您是如何走上 hacking 这条路的?
我一生都痴迷于 hacking。记得小时候我就通过计算机技能获得在线游戏的更多分或者得到 DSL 调制解调器的密码访问权限,不过由于在学校成绩差就没有继续捣鼓了。在18岁时我对 hacking 有了更严肃认真的态度,开始做一些挑战活动。这些都促成我认为自己必须学习编程的想法,同时让我凭借这些技能获得第一份编程工作,继而获得第一份 hacking 工作。
您为什么而hack 以及为何要通过漏洞奖励来 hack for good?
我喜欢挑战,故而喜欢 hack。我认为 hacking 是一个非常宽广的领域,几乎不存在学习的边界。比如,你可以成为一名非常出色的 Web 应用 hacker,但是如果你转向逆向或内核 hacking 的领域,你基本上就相当于从零开始。某些技能最终会迁移过来,但于我而言,学习是任何一个新项目的最重要的部分。
什么样的漏洞奖励计划让人兴奋?
我认为奖金金额、企业支付所有类型 bug 的意愿以及主要是企业真的修复你所提交漏洞的意愿之间应该是一种良好的平衡关系。另外一个重要因素是,这家企业是否有名以及是否从事有意思的行业。
你参与或不参与漏洞奖励计划的标准是什么?
过去我已经停止参与漏洞奖励计划了,原因是即使企业支付奖金但不会修复任何漏洞,而且因为这个原因我会遭到很多重复报送的情况。另一个问题是支付时间。某些漏洞奖励计划修复漏洞和发放奖金的时长长达三个月,对我压力很大。
你一次会参加几个漏洞奖励计划?为什么?
我只会 hack 按照经验来看是良好的特定的漏洞奖励计划。从我的经历来看,我主要 hack Verizon Media 公司,不过我也参加了一些非公开的计划。因为我认为我找 bug 的路子源自对一家公司外部攻击面的理解以及整体架构的理解。参加新的漏洞奖励计划会让我在同等时间内的收入减少,投入加大。
您如何选择优先挖掘哪类漏洞?
一旦你选定某家公司的某类漏洞,找到同类型漏洞的机会就会增加,因此我倾向于优先查找类似的漏洞。这是因为某类技术和开发实践失败的方式类似。例如,我找到很多同类型的 SSRF 漏洞,原因就在于厂商设计 API 和网络布局的方式一致。
您如何跟进最新的漏洞趋势?
我认为跟进最新趋势的好处很多,但我尽量不会追风了解其他人在干什么,因为你做自己的事情价值也很大。尤其在漏洞奖励领域,多数发布的内容在发布时就已经过时了。这是因为一般而言,没有人会公布一个潜在的挖洞来源,所以他们会等到知识不再适用的时候才会发布。我一般通过 Hacker News 了解一般的 IT 新闻。
您希望企业在设立漏洞奖励计划之前,首先了解哪些东西?
设立漏洞奖励计划并不能保证黑客会查看你的 Web 应用并进行审计。要吸引黑客投入时间,必须在奖金以及响应度方面做出一定程度的保证。
您如何看待未来5到10年漏洞奖励计划的走向?
从我个人来看,我认为现在是从事漏洞挖掘的好时机,而且情况变得越来越好。我认为人才的竞争会越来越激烈,从而导致奖金越来越高,漏洞奖励计划越来越多,而涵盖范围也会越来越广。
您会向其他人推荐哪些hacking的学习资源?
比起课程或更正式的培训,我更喜欢 hacking 挑战。虽然做“假装的” hacking 活动看起来很搞笑很傻,但参加这些挑战活动、努力解决这些挑战、然后习得另外一种技能或技术具有巨大的价值。我认为最让人兴奋的是,你在这些实验中使用的技术同时也是你作为渗透测试人员或漏洞猎人将要使用的技术。我个人用的是 Pentester Labs,它价格便宜、给人的启发大而且全面。
对下一代黑客,您有哪些建议?
我不习惯给别人提建议,因为我自己都不明白我在做什么。不过,硬要提的话,我建议做一个体面人并尊重他人。虽然找到一个漏洞并发布公开可能感觉很爽,但这种向外求认同的做法经常会让你消耗殆尽,且将事情演成为你死我活的竞争。
另外一个建议是不要偏执于别人发现了多少个漏洞。其他人的投入不同,优先级不同而且道德标准也不同。和别人攀比漏洞数量就像用苹果比香蕉,没有可比性,最好是专注并享受你自己在做的工作。
Hacking 之余,您的生活是怎样的?
在 Hacking 之余,我会陪女儿,跟她玩,陪她长大。我还喜欢户外活动、远足、跑步。
推荐阅读
聊聊猎洞的残酷真相:一腔孤勇,为爱发电
猎洞如解谜,乐无穷
原文链接
https://www.hackerone.com/blog/hacker-spotlight-interview-benteveo
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
追风猎洞只能喝西北风吗?相关推荐
- 4年猎洞赚百万美金:谈谈我的入门和成功经验
本文作者Ozgur Alp 是一名土耳其的独立漏洞猎人兼攻击安全顾问.他在四年的时间里通过挖掘漏洞赢得100万美元的奖励,以下是他对自己个人经验的总结,奇安信代码卫士团队编译如下,希望能给读者带来一些 ...
- 猎洞20年老兵的经验之谈
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 Hacking 老兵 @ralamosm 已猎洞20多年.他是HackerOne 平台上的"最有价值黑客 (MVH)" ...
- 猎洞高手Orange Tsai 亲自讲解 ProxyShell write-up
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 2021年4月,DEVCORE 研究团队成员 Orange Tsai 在Pwn2Own温哥华大赛上演示了位于微软 Exchange 中的一个远程 ...
- 聊聊猎洞的残酷真相:一腔孤勇,为爱发电
聚焦源代码安全,网罗国内外最新资讯! 你是否身陷猎洞或网络安全研究困境?这里可能有你想要的答案. 安全圈子的猎洞获奖金的新闻扑面而来,仿佛"白帽黑客"这几个字都自带光芒,闻起来都 ...
- 猎洞高手轻松变身Gsuite 超级管理员接管他人的 Gsuite 账户
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 在谷歌猎洞排行榜名列第二的研究员 Cameron Vincent 详述了如何将自己添加到任何组织机构 Gsuite 账户的超级管理员并接管该组织 ...
- 从业余挖洞到微软漏洞研究员,我的遗憾、惊喜和建议
聚焦源代码安全,网罗国内外最新资讯! 作者:Abdulrahman Alqabandi 编译:代码卫士 本文作者目前是微软的一名漏洞研究员,他讲述了将挖洞当作爱好和当作职业的笑与泪,以及一些建议忠告 ...
- 无线路由器挖洞方法大比拼:白盒 or 黑盒?
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 ZDI 发布博客文章,比较了黑盒和白盒挖洞方法的优劣.如下是对文章的编译. 去年,我们披露了两个认证绕过漏洞 ZDI-20-1176 ...
- NOI WC 2019 小结
Day 1 评测系统与参赛策略 王逸松 松松松手把手教你如何搭建评测系统(掉线-) 不过有一点实用的 linux 下 time ./a 可以看a的运行时间 顺便以赠送小黄鸭为评测鸭打了一波广告 既然拿 ...
- 我的读书笔记 -《厚黑学》
2019-2-26 作者:李宗吾,https://baike.baidu.com/item/李宗吾/1082113?fr=aladdin 这本书是语录体,并没有专门分类整理书的观点,我现在读书少-所以 ...
最新文章
- 实战操作主机角色转移,Active Directory系列之十
- linux下日志管理系统,Linux管理日志系统详解
- 2_7 FlyweightMode 享元模式
- 搭建 vue2 单元测试环境(karma+mocha+webpack3)
- Oracle数据库文件路径变更
- Net设计模式实例之观察者模式(Observer Pattern)
- java zk_zk框架:zul文件,纯Java或混合更好的性能
- php 写入txt换行_PHP fwrite 函数:将字符串写入文件(追加与换行)
- 二维联合分布(X,Y)求(U,V)
- Revertable STFT
- CSS基础(emmet 语法,CSS 复合选择器, 布局认知,背景样式)
- java8判断当前时间是否大于某个时间
- GitHub上重要的几个搜索技巧
- 「备战春招/秋招系列」程序员的简历就该这样写...
- rsync命令以及xsync封装
- Oracle 官方学习oracle
- Hololens单击、双击
- npm install一直报错equest to https://registry.npm.taobao.org/underscore failed, reason: Client network
- Cocos Creator 位图字体(艺术数字配置、BMFont)
- VB控件实现IObjectSafety安全接口(zt)