聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

曾经只出现在北美地区的 hacking 现象如今已成为一种全球趋势。在亚太地区，由黑客驱动的安全项目同比增长30%。去年，美国黑客赚走了19%的 HackerOne 平台上的所有漏洞奖金，其次为印度（10%）、加拿大（5%）和德国（4%），它们是2018年黑客收入最高的五个国家。

印度？是的，是印度没错。实际上 HackerOne 平台发布的《2019年黑客驱动安全报告》指出，2018年，印度道德黑客赚取的奖金为2,336,024美元。

然后，你可能会问，这些黑客是谁？

本期我们邀请到了 Shivam Vashist。他在印度生活，其网络昵称 @Bull 更为人知，他是一名全职黑客。Shivam 放弃了考大学找一份稳定工作的传统路径，转而选择当一名全职黑客。几年来，他教会自己的弟弟如何 hacking、帮助父亲退休并带着家人周游世界！

现在，我们和 Shivam 聊聊吧！

你好，Shivam！请先介绍下自己。

我叫 Shivam Vashisht（黑客昵称是 bull）。今年23岁，在成为全职道德黑客并以此为生之前，从事挖矿工程工作。

你什么时候开始 hacking？

大概19岁时，我开始学习更多的计算机知识并探索道德黑客的世界。

你的家人支持吗？

刚开始他们比较担心。不过随着时间的流逝，他们了解到道德黑客是完全合法和切实可行的工作后就非常支持。

你为什么选择成为一名全职黑客？

与我而言，这份工作要比考上大学找份工作更令人兴奋。道德黑客工作能让我获得报酬并挖掘自身潜力，我认为这要比找一份传统工作回报更大。道德黑客是我的完美工作，我想在什么时候什么地点工作都成，非常灵活。通过 hacking，在前进的道路上我能学到更多的知识，而且能收到丰厚的报酬。

全职黑客的优劣势是什么？

我认为优势是它的灵活性，你可以在世界任何地方工作并且按自己的节奏工作。你就是自己的老板，而且还可能赚很多的钱。至于劣势，我认为收入可能不是太稳定，可能精疲力竭，以及没有社交生活。

你（平均）每天或每周hacking 的时间有多久？

我平均每周大概会 hacking 15个小时的样子。不过具体时间要根据我的工作计划决定。有时候我可能会连续几天盯着，有时候可能几周都不会 hacking。

你喜欢哪种 bug 类型？

我基本上喜欢找服务器端的 bug，如服务器端请求伪造 (SSRF)、远程代码执行 (RCE)、SQL 注入 (SQLI) 和加密验证失败类的 bug。能造成更大影响的逻辑 bug、跨源资源共享 (CORS)/OAuth 配置不当和链简单客户端 bug 也是我的菜。

最让你骄傲的 bug 是什么？

我在一款健壮的、用户获得非常细颗粒度控制的应用中找到一个漏洞。开始我在这款应用内查看这些控制，看它在默认设置下能否被滥用，结果我发现很多用户数据遭泄露。这个漏洞还可导致其它用户的账户被控制。

我还找到了其它漏洞，其中一些可见：

http://witcoat.blogspot.com/2017/12/stealing-10000-yahoo-cookies.html

你获得第一次奖金是在什么时候？感觉如何？

我在20岁的时候从 InstaCart 之后是 MasterCard 获得第一次奖金。这种感觉太爽了，我不敢相信自己竟然做到了！好几天我都兴奋得睡不着觉！

你当白帽黑客的动力是什么？

当我能够想出解决挑战的创新方法并发现其他人还没找到的漏洞时，hacking 让我飘然如仙。成功找到一个 bug 的那种感觉让我觉得自己活过来了而且很激动！Hacking 跟我是绝配，当然挖洞得到的奖金也是一个很大的动力，但它并非最大的动力。

你有自己欣赏的黑客吗？

当然有了！优秀的黑客非常多，不过其中一些黑客的创造性和创新性让我茅塞顿开，比如 @intidc (https://twitter.com/securinti)、@filedescriptor (https://twitter.com/filedescriptor)、@orange  (https://twitter.com/orange_8361)、 @jobert (https://twitter.com/jobertabma)、 @albinowax (https://twitter.com/albinowax )和@andre ( https://twitter.com/0xacb) 等等。

你对漏洞奖励计划有什么看法？你认为所有公司都应该设立吗？

漏洞奖励计划是做安全的最佳方式之一。单单是触及全球的黑客天才这一点就非常强大，而这也是漏洞奖励计划成功的原因所在。我认为所有公司都应该考虑设立一个漏洞奖励计划。

你对印度的网络安全局势怎么看？

虽然印度变得越来越数字化了，但我认为计算机安全并未得到足够的重视，而且我们的系统中可能存在很多尚未检查的漏洞。我们需要更多的网络安全意识。提升安全解决方案教育以及求助道德黑客社区可能是其中一种解决方案。

你认为印度对黑客驱动安全（即漏洞奖励计划）概念的接受度怎么样？

我认为印度还没有广泛认可这个概念。我认为印度目前只有一些公司设立了漏洞奖励计划。不过我估计未来几年将有更多的公司加入。

你对道德黑客有哪些建议呢？

大量阅读！跟随其他黑客的步伐，了解他们是如何找到 bug 的，不停尝试直到找到有影响力的 bug，它会给你带来实践技能夯实技能的机会。

推荐阅读

HackerOne《2019年黑客驱动安全》报告来了：看完你还坚持挖吗？

挖漏洞能发家致富吗？HackerOne 诞生6名漏洞赏金百万富翁

原文链接

https://www.hackerone.com/blog/qa-hacker-personality-shivam-vashisht

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 点个 “在看” ，加油鸭~