聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

2013年，巴基斯坦黑客 @hazimaslam 因朋友的雅虎账户被黑而首次接触 Web 安全。这一经历促使他学习和 XSS 攻击相关的内容。时间快进到今天，他已经提交了250多份漏洞报告，成为专家，不过现在仍然追逐初入行的兴奋与探险精神。在不挖漏洞的时候，他喜欢走出去玩 Battle Royale 游戏，同时他酷爱摄影和咖啡。

你是如何发现 hacking 的？

我记得那是2013年上大学的一个早晨，一个朋友告诉我自己的邮件账户被黑。当时我对 Web 安全或 hacking 一无所知，但这件事点燃了我学习 hacking 的好奇心。不久之后我开始查看多种工具和在线资源，发现了 XSS 漏洞的资料。于是我开始将基本的 XSS payload 输入每个所找到的input 字段，而当我获得首个警告性弹出信息时，太令人兴奋了！之后整晚整晚地查找 XSS 漏洞，每个晚上至少找到一个bug并提交成为我的习惯。每天都能学到一种新技术或技巧或payload的感觉太棒了。当时我并不知道漏洞奖励或 HackerOne，所以一直都通过安全邮箱直接提交给相关项目。

您 hack 的动力是什么，为何通过赏金 hack for good？

说实话，钱是我最重要的动力！做着自己热爱的事情还能赚钱太不可思议了。另外让我兴奋的点在于 hacking 的兴奋和冒险性质。找到潜在的漏洞，进一步探索，之后尝试直到成功利用。这一刻，一切都是值得的。花数小时甚至数天的时间利用某个漏洞所带来的成就感让人难忘。

学习新东西是我的另外一个动力。每天都能学到新东西让人兴奋而且充满力量。这种感觉促使我每天都在不断学习并尝试新技术，提升hacking技能。

什么样的漏洞奖励计划令人兴奋？

涵盖范围广且具有竞争力赏金的非公开漏洞奖励计划是我的菜。

您选择继续参加或不参加某个漏洞奖励计划的原因是什么？

我最看重的是漏洞奖励计划的响应速度。如果他们判定漏洞和支付赏金的速度快，那我会继续参加。如果等待时间较长，那我一般不会继续。

您一次关注几个漏洞奖励计划？为什么？

我一次仅关注一个漏洞奖励计划，尽力从中找到尽可能多的漏洞。我这样做的原因是需要花费一些时间才能适当地熟悉一款 Web 应用并真正理解它的运作原理。这种知识是无价的。如果这个阶段做得正确，那么找到高质量漏洞的几率就会快速提高。我更注重漏洞报告的质量而非数量，因此侦查阶段对我而言更重要。

您如何了解最新的漏洞趋势？

通过推特、其他黑客发的博客文章以及 Portswigger的研究论文。我还喜欢每天在 HackerOne Hacktivity上查看新披露的漏洞。

您有导师或偶像吗？

我没有导师，不过向 James Kettle、Arne Swinnen、James Kettle、Arne Swinnen、Frans Rosén、NahamSec 和Pieter Hiele 看齐。

不过，在需要关于逆向分析帮助或者遇到复杂的编程相关问题时我会请教 Usama Masood，他在编程和源代码审计方面真是个天才！

您对下一代黑客的建议是什么？

关注基础并对学习有信心。虽然刚开始你的努力看似徒劳，但其实距离你找到第一个漏洞只是一个时间问题。

你在 hacking 之余会做什么？

健身是我的另一个热爱！每天出去活动并保持身体健康是让我醉心的事。除此之外，有时候我也喜欢打打 Battle Royale 游戏。

推荐阅读

Pwn2Own 2021温哥华黑客大赛的目标和赏金公布

Bug 险中求：作为新手，我怎样才能快速找到不和别人重复的第一个 bug？

原文链接

https://www.hackerone.com/blog/hacker-spotlight-interview-hazimaslam

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~