我是一名自由职业白帽黑客
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
曾经只出现在北美地区的 hacking 现象如今已成为一种全球趋势。在亚太地区,由黑客驱动的安全项目同比增长30%。去年,美国黑客赚走了19%的 HackerOne 平台上的所有漏洞奖金,其次为印度(10%)、加拿大(5%)和德国(4%),它们是2018年黑客收入最高的五个国家。
印度?是的,是印度没错。实际上 HackerOne 平台发布的《2019年黑客驱动安全报告》指出,2018年,印度道德黑客赚取的奖金为2,336,024美元。
然后,你可能会问,这些黑客是谁?
本期我们邀请到了 Shivam Vashist。他在印度生活,其网络昵称 @Bull 更为人知,他是一名全职黑客。Shivam 放弃了考大学找一份稳定工作的传统路径,转而选择当一名全职黑客。几年来,他教会自己的弟弟如何 hacking、帮助父亲退休并带着家人周游世界!
现在,我们和 Shivam 聊聊吧!
你好,Shivam!请先介绍下自己。
我叫 Shivam Vashisht(黑客昵称是 bull)。今年23岁,在成为全职道德黑客并以此为生之前,从事挖矿工程工作。
你什么时候开始 hacking?
大概19岁时,我开始学习更多的计算机知识并探索道德黑客的世界。
你的家人支持吗?
刚开始他们比较担心。不过随着时间的流逝,他们了解到道德黑客是完全合法和切实可行的工作后就非常支持。
你为什么选择成为一名全职黑客?
与我而言,这份工作要比考上大学找份工作更令人兴奋。道德黑客工作能让我获得报酬并挖掘自身潜力,我认为这要比找一份传统工作回报更大。道德黑客是我的完美工作,我想在什么时候什么地点工作都成,非常灵活。通过 hacking,在前进的道路上我能学到更多的知识,而且能收到丰厚的报酬。
全职黑客的优劣势是什么?
我认为优势是它的灵活性,你可以在世界任何地方工作并且按自己的节奏工作。你就是自己的老板,而且还可能赚很多的钱。至于劣势,我认为收入可能不是太稳定,可能精疲力竭,以及没有社交生活。
你(平均)每天或每周hacking 的时间有多久?
我平均每周大概会 hacking 15个小时的样子。不过具体时间要根据我的工作计划决定。有时候我可能会连续几天盯着,有时候可能几周都不会 hacking。
你喜欢哪种 bug 类型?
我基本上喜欢找服务器端的 bug,如服务器端请求伪造 (SSRF)、远程代码执行 (RCE)、SQL 注入 (SQLI) 和加密验证失败类的 bug。能造成更大影响的逻辑 bug、跨源资源共享 (CORS)/OAuth 配置不当和链简单客户端 bug 也是我的菜。
最让你骄傲的 bug 是什么?
我在一款健壮的、用户获得非常细颗粒度控制的应用中找到一个漏洞。开始我在这款应用内查看这些控制,看它在默认设置下能否被滥用,结果我发现很多用户数据遭泄露。这个漏洞还可导致其它用户的账户被控制。
我还找到了其它漏洞,其中一些可见:
http://witcoat.blogspot.com/2017/12/stealing-10000-yahoo-cookies.html
你获得第一次奖金是在什么时候?感觉如何?
我在20岁的时候从 InstaCart 之后是 MasterCard 获得第一次奖金。这种感觉太爽了,我不敢相信自己竟然做到了!好几天我都兴奋得睡不着觉!
你当白帽黑客的动力是什么?
当我能够想出解决挑战的创新方法并发现其他人还没找到的漏洞时,hacking 让我飘然如仙。成功找到一个 bug 的那种感觉让我觉得自己活过来了而且很激动!Hacking 跟我是绝配,当然挖洞得到的奖金也是一个很大的动力,但它并非最大的动力。
你有自己欣赏的黑客吗?
当然有了!优秀的黑客非常多,不过其中一些黑客的创造性和创新性让我茅塞顿开,比如 @intidc (https://twitter.com/securinti)、@filedescriptor (https://twitter.com/filedescriptor)、@orange (https://twitter.com/orange_8361)、 @jobert (https://twitter.com/jobertabma)、 @albinowax (https://twitter.com/albinowax )和@andre ( https://twitter.com/0xacb) 等等。
你对漏洞奖励计划有什么看法?你认为所有公司都应该设立吗?
漏洞奖励计划是做安全的最佳方式之一。单单是触及全球的黑客天才这一点就非常强大,而这也是漏洞奖励计划成功的原因所在。我认为所有公司都应该考虑设立一个漏洞奖励计划。
你对印度的网络安全局势怎么看?
虽然印度变得越来越数字化了,但我认为计算机安全并未得到足够的重视,而且我们的系统中可能存在很多尚未检查的漏洞。我们需要更多的网络安全意识。提升安全解决方案教育以及求助道德黑客社区可能是其中一种解决方案。
你认为印度对黑客驱动安全(即漏洞奖励计划)概念的接受度怎么样?
我认为印度还没有广泛认可这个概念。我认为印度目前只有一些公司设立了漏洞奖励计划。不过我估计未来几年将有更多的公司加入。
你对道德黑客有哪些建议呢?
大量阅读!跟随其他黑客的步伐,了解他们是如何找到 bug 的,不停尝试直到找到有影响力的 bug,它会给你带来实践技能夯实技能的机会。
推荐阅读
HackerOne《2019年黑客驱动安全》报告来了:看完你还坚持挖吗?
挖漏洞能发家致富吗?HackerOne 诞生6名漏洞赏金百万富翁
原文链接
https://www.hackerone.com/blog/qa-hacker-personality-shivam-vashisht
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~
我是一名自由职业白帽黑客相关推荐
- 揭秘“白帽黑客”特训 入职可获年薪20万以上
培训班是军事化管理,平时的上课时间手机不准带进教学区,学员们只有在晚上回到宿舍,才可以给家里打个电话. 刘悦大学毕业后,放弃电力公司的工作,来到"女生当男生使"的特训班.半年下来, ...
- 美国国防部黑客大比武 “白帽黑客”受邀请
美国国防部举行首次黑客大比武,悬赏邀请民间高手寻找五角大楼网站漏洞,结果找到超过上百处隐患.五角大楼计划今后继续这类活动并扩大范围. 政府开先河 这种做法在企业界不新鲜:"白帽黑客" ...
- 自学白帽黑客第二年总结
文章目录 卷首 技术 个人经历 尾声 卷首 几乎和去年写上一篇文章<自学白帽黑客第一年总结>一样,晚上翻来覆去睡不着,头脑中是这一年的经历不断的涌现,我想着去360的经历,想着最近审计代码 ...
- 白帽黑客_什么是白帽黑客?
白帽黑客 Before starting to talk about White, Grey and Black Hat Hackers we should learn the real meanin ...
- 网络安全现状:揭秘白帽黑客的真实收入
前言 上次带大家了解了什么是黑客,黑客是干嘛的,今天就来看看黑客的收入和方向怎么样. 一个黑客年薪是多少呢? 外界普遍认为黑客是高收入群体,那么你想过黑客是怎么获得收入的吗?黑客分为白帽黑客和黑帽黑客 ...
- 美国有史以来最著名5大黑帽黑客和5大白帽黑客
日前,国外媒体评选出美国有史以来最危险的五大计算机黑客.其评判标准:入狱:青春期作案:巨额收益或自我超级崇拜. 1.Kevin Mitnick(凯文?米特尼克) 米特尼克是黑客界响当当的人物,甚至他的 ...
- 这群白帽黑客,是网络世界的守夜人
前言 这是在网络世界,聪明的头脑之间,关于智慧.毅力.勇气的战斗. 文末有彩蛋 一方是坚固的盾,一方是锐利的矛.数以亿计的代码中,他们寻找着一丝破绽,难度堪比大海捞针. 一丝破绽令多少人趋之若鹜,又让 ...
- 成为最厉害的白帽黑客,需要经历什么?
想要成为最厉害的白帽子,唯有持之以恒的学习和千百次实战的锤炼.实战只能靠你自己. 01 技术诉求 在上世纪80.90年代以及21世纪初,"hack"是一个肮脏的字眼.它暗示着危险和 ...
- 白帽黑客最好用的编程语言
白帽黑客(Ethical Hacking)模拟入侵攻击是为了寻找计算机系统和网络中的漏洞,然后利用这些弱点来保护它们.随着新技术的不断涌现,安全漏洞也层出不穷,尤其是与我们息息相关的物联网.当下,白帽 ...
- 这群白帽黑客,是网络世界的守夜人
这是在网络世界,聪明的头脑之间,关于智慧.毅力.勇气的战斗. 一方是坚固的盾,一方是锐利的矛.数以亿计的代码中,他们寻找着一丝破绽,难度堪比大海捞针. 一丝破绽令多少人趋之若鹜,又让多少人奋不顾身.但 ...
最新文章
- 湖北孝感计算机职称考试,2015湖北职称计算机考试报名:孝感职称计算机报名入口...
- Juniper EX3400 Rescue configuration is not set
- python 递归遍历二叉树
- junit rule_Tomcat上下文JUnit @Rule
- Gridview隐藏列和隐藏列的取值问题
- 台式计算机内存是什么问题,台式电脑提示内存不足怎么回事
- Unity美术字体教程--BMFont美术字体的制作流程以及在unity中美术字体的生成
- 【视频编码格式】全面解析
- JavaSE 简单介绍
- 《缠论》的精髓是什么?
- 大数据技术的发展趋势
- 尚德机构季报图解:净利1.79亿 实现连续四个季度盈利
- Aspose.Words 表格添加斜线 并添加文字
- 戴尔灵越15-5567装黑苹果
- excel数据透视表_无痛的方式隐藏Excel数据透视表项
- Python3利用VirusTotal的vt库通过API上传样本
- 英文网站推广推荐一些很好的SEO优化工具
- html中去除浮漂有什么作用,各种浮漂的选择及作用
- Halo——zcash新的零知识证明机制,无需Trusted Setup
- 西门子S7-1200PLC脉冲控制伺服程序案例
热门文章
- SQL Server 2008R2 企业版 百度云下载地址
- 方正飞鸿:OA系统先进性如何在工作流中体现
- 清空SQL数据库日志|数据库开发|SQL|web开发|快速开发|中间件平台|方正飞鸿|ES2007|
- Knowledge-Aware Graph-Enhanced GPT-2 for Dialogue State Tracking论文笔记
- reg51 reg52区别
- 计算机丢失msvcp90dll怎么办,msvcp90.dll
- 实战一:给定一段音频,请提取12维MFCC特征,阅读代码预加重、分帧、加窗部分,完善作业代码中fbank和mfcc部分,并给出最终的Fbank和MFCC特征,用默认的配置参数,无需进行修改
- Win10连接NAS网络存储器失败解决方法
- win10office2016计算机试题,大学计算机基础(Windows10+Office2016)试卷6(含答案).docx
- php商城添加加入购物车,php添加购物车,php购物车