聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

Corb3nik 是一名漏洞猎人，从事渗透测试和研发工作数年。作为一名 CTF 爱好者，他喜欢 web 和二进制带来的挑战，并希望有一天能够站在 Pwn2Own 黑客大赛的舞台上。

你为什么会想到给自己起这样的昵称？

我的名字源自我最喜欢的游戏 .Hack。

你是如何了解到黑客职业的？

和我一起玩 MMORPG 游戏的一个队友被黑，然后我就会黑客产生了兴趣。当时我少不更事，主要的目的是理解队友为啥被黑并找到如何黑回去！现在虽然这种动机已经不复存在了，但它仍然激励着我去了解 WiFi 黑客、入侵网络设备，并最终走向 CTF。

为什么选择做白帽黑客并参加漏洞奖励计划？

我的动机有两个：一个是参加 CTF 打比赛，一个是为了获得漏洞赏金。我一直都非常喜欢 CTF充满竞争的一面，它不断强迫你去学习更深入的技术知识。出于某种奇怪的原因，我发现花几个小时解决某个问题非常有成就感。至于漏洞奖励计划，我主要就是出于经济原因。我想在某个时候买辆车或买套房，而漏洞赏金会帮助我完成这个目标。

你会选择什么样的漏洞奖励计划？

有受很多不同因素的影响，不过我关注的多数是要么涵盖范围广，要么具有很多复杂功能的资产。

你持续参与或不参与某项漏洞奖励计划的原因是什么？

我希望参加响应快并愿意和漏洞猎人合作的漏洞奖励计划。我最喜欢的是积极帮助漏洞猎人提升研究成果的计划。

你一次关注几个漏洞奖励计划？为什么？

我试着一次只关注一个计划，这样就能获得关于目标的更多知识并希望能找到更多的 bug。

你如何基于漏洞奖励计划判断先挖哪种类型的漏洞？

我更看重的是具体的场景而不是漏洞类型。比如，如果某 app 允许用户上传个人文档，那么我就会以用户身份上传文档并想尽一切可行的办法以另外一名用户的身份泄露该文档，不管它牵涉的是 IDORs、SQLis、XSS、还是LFIs 等。我发现比起随机测试漏洞类型，这样的具体目标更有意思。

你如何看待未来五到十年漏洞奖励计划的发展情况？

随着各种社区上 write-ups/指导手册/共享的内容越来越多，我认为未来在漏洞奖励计划领域漏洞猎人之间的竞争会加剧。同时希望我们也会看到更多的漏洞奖励计划！

你有自己的导师或榜样吗？

我的朋友Vakzz (@wcbowling) 也是一名 CTF 参赛者，现在他开始涉足漏洞奖励计划并一直以来都做的非常好。他技术高超是个多面手，他就是我想成为的黑客！大家可以在 ringzer0ctf.com 和 OpenToAll CTF 团队了解我的更多情况。

你对准黑客们的建议是什么？

我建议大家在打完 CTF 比赛后再投入漏洞奖励计划 (BB)。不管 CTF 比赛看起来多么不真实，但你从中可以学到很多东西并应用到漏洞奖励计划中。

推荐阅读

我是一名自由职业白帽黑客

我如何判断漏洞奖励计划是否值得参加？如何获得最大收益？

高中生，一年，从 0 到 0day 的秘密

原文链接

https://www.hackerone.com/blog/hacker-spotlight-interview-corb3nik

题图：Pixabay License

文内图：微软

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 点个 “在看” ，加油鸭~