我要上 Pwn2Own
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Corb3nik 是一名漏洞猎人,从事渗透测试和研发工作数年。作为一名 CTF 爱好者,他喜欢 web 和二进制带来的挑战,并希望有一天能够站在 Pwn2Own 黑客大赛的舞台上。
你为什么会想到给自己起这样的昵称?
我的名字源自我最喜欢的游戏 .Hack。
你是如何了解到黑客职业的?
和我一起玩 MMORPG 游戏的一个队友被黑,然后我就会黑客产生了兴趣。当时我少不更事,主要的目的是理解队友为啥被黑并找到如何黑回去!现在虽然这种动机已经不复存在了,但它仍然激励着我去了解 WiFi 黑客、入侵网络设备,并最终走向 CTF。
为什么选择做白帽黑客并参加漏洞奖励计划?
我的动机有两个:一个是参加 CTF 打比赛,一个是为了获得漏洞赏金。我一直都非常喜欢 CTF充满竞争的一面,它不断强迫你去学习更深入的技术知识。出于某种奇怪的原因,我发现花几个小时解决某个问题非常有成就感。至于漏洞奖励计划,我主要就是出于经济原因。我想在某个时候买辆车或买套房,而漏洞赏金会帮助我完成这个目标。
你会选择什么样的漏洞奖励计划?
有受很多不同因素的影响,不过我关注的多数是要么涵盖范围广,要么具有很多复杂功能的资产。
你持续参与或不参与某项漏洞奖励计划的原因是什么?
我希望参加响应快并愿意和漏洞猎人合作的漏洞奖励计划。我最喜欢的是积极帮助漏洞猎人提升研究成果的计划。
你一次关注几个漏洞奖励计划?为什么?
我试着一次只关注一个计划,这样就能获得关于目标的更多知识并希望能找到更多的 bug。
你如何基于漏洞奖励计划判断先挖哪种类型的漏洞?
我更看重的是具体的场景而不是漏洞类型。比如,如果某 app 允许用户上传个人文档,那么我就会以用户身份上传文档并想尽一切可行的办法以另外一名用户的身份泄露该文档,不管它牵涉的是 IDORs、SQLis、XSS、还是LFIs 等。我发现比起随机测试漏洞类型,这样的具体目标更有意思。
你如何看待未来五到十年漏洞奖励计划的发展情况?
随着各种社区上 write-ups/指导手册/共享的内容越来越多,我认为未来在漏洞奖励计划领域漏洞猎人之间的竞争会加剧。同时希望我们也会看到更多的漏洞奖励计划!
你有自己的导师或榜样吗?
我的朋友Vakzz (@wcbowling) 也是一名 CTF 参赛者,现在他开始涉足漏洞奖励计划并一直以来都做的非常好。他技术高超是个多面手,他就是我想成为的黑客!大家可以在 ringzer0ctf.com 和 OpenToAll CTF 团队了解我的更多情况。
你对准黑客们的建议是什么?
我建议大家在打完 CTF 比赛后再投入漏洞奖励计划 (BB)。不管 CTF 比赛看起来多么不真实,但你从中可以学到很多东西并应用到漏洞奖励计划中。
推荐阅读
我是一名自由职业白帽黑客
我如何判断漏洞奖励计划是否值得参加?如何获得最大收益?
高中生,一年,从 0 到 0day 的秘密
原文链接
https://www.hackerone.com/blog/hacker-spotlight-interview-corb3nik
题图:Pixabay License
文内图:微软
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~
我要上 Pwn2Own相关推荐
- Pwn2Own 2021温哥华黑客大赛的目标和赏金公布
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周二,趋势科技 ZDI 公布了 Pwn2Own 温哥华2021黑客大赛的目标.奖金和规则.比赛定于4月6日至8日,以线上线下的方式举 ...
- 2020 Pwn2Own东京大赛落幕,Master of Pwn 诞生
聚焦源代码安全,网罗国内外最新资讯! 为期三天的2020年Pwn2Own东京大赛(线上)已完赛,Master of Pwn 破解之王桂冠由 Team FLASHBACK 摘得.大赛共为6种不同设备的 ...
- ZDI 公布2020年 Pwn2Own 东京赛规则和奖金
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周二,趋势科技ZDI宣布了2020年 Pwn2Own 东京赛的赛事规则和奖金. 2020年Pwn2Own 东京赛将于2020年11月 ...
- Bug 险中求: 作为新手,我怎样才能快速找到不和别人重复的第一个 bug?
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 当 Katie Paxton-Fear (@InsiderPhD) 第一次受邀参加在伦敦举办的 HackerOne 现场活动时,她未曾 ...
- 关于Mongodb的全面总结,学习mongodb的人,可以从这里开始!
转载地址:http://blog.csdn.net/he90227/article/details/45674513 原文地址:http://blog.csdn.NET/jakenson/articl ...
- Pwn2Own 2020线上争霸赛落幕:Fluoroacetate 团队四度蝉联 Master of Pwn!
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 原定于2020年3月18日至20日在加拿大温哥华举办的 Pwn2Own 2020 大赛受新冠病毒影响,转为线上争霸赛.大赛共计6支队伍 ...
- 360要上A股IPO?先看看它的网络安全武器库
随着华泰联合证券与三六零科技股份有限公司签订首次公开发行并上市辅导协议,360正式进入A股上市通道.360董事长周鸿祎曾表示:360的回归,既是拓展自身业务,更是为国家网络安全建设贡献力量. 作为中国 ...
- PWN2OWN 2017 Linux 内核提权漏洞分析
0.前言 在2017年PWN2OWN大赛中,长亭安全研究实验室(Chaitin Security Research Lab)成功演示了Ubuntu 16.10 Desktop的本地提权.本次攻击主要利 ...
- 拼多多再添新瓜!15 岁上浙大、22 岁获世界冠军的天才黑客 Flanker 疑因拒绝违法攻击被强制开除...
拼多多又出事了. 近日,拼多多因员工猝死,跳楼自杀.开除员工等事一直游走在舆论的风口浪尖,而前拼多多安全大佬 Flanker 离职的故事也被扒了出来,成为了拼多多舆论的又一风暴点. 1 月 12 日早 ...
最新文章
- 了解EF CodeFirst的Migrator功能与Migrator.Net对比
- java数组长度最大值_java 数组排序、最大值、最小值 | 学步园
- jpa 动态查询条件 数组_Spring data jpa 复杂动态查询方式总结
- bzoj1207: [HNOI2004]打鼹鼠
- 模拟 Codeforces Round #288 (Div. 2) A. Pasha and Pixels
- android sdk64位资源,android SDK 有32位或64位的分别吗
- 半自动化运维之快速连接到指定环境(一)
- neutron用linux_bridge部署provider网络
- 华为手机投屏电脑_手机投屏干货分享:华为如何投屏到电视机?
- bilibili老版本_bilibili旧版本
- cfree5文件标签混乱处理。
- Justinmind教程(3)——管理原型
- PostgreSQL 磁盘空间的保护伞 PG_repack VS 表膨胀
- 全局热键给截图自动加水印并win10系统通知
- 乐高教育版45544零件---分类识别
- OpenGL 开始学习指南
- STM32基于固件库学习笔记(11)RTC实时时钟
- 微博图片去水印,自动去处微博图片水印方法
- 2.3.2 实体完整性约束
- 推荐系统-排序层:主流CTR模型综述【Click-Through-Rate,点击率预估,指精排层的排序】【CTR 模型的输入(即训练数据)是:大量成对的 (features, label)数据】