我如何判断漏洞奖励计划是否值得参加?如何获得最大收益?
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
@cache-money是一位颇有影响力的白帽黑客,之前是一名软件工程师。经过一年的全职漏洞猎人生涯后,他又回归到红队安全工程岗位,并在业余时间继续挖洞。他向政府运行的漏洞奖励计划累计提交100多个漏洞,并为多家大厂如优步、Shopify、GitHub、Salesforce 发现多个严重漏洞。他已在 HackerOne 平台上提交了600多个漏洞,目前世界排名第31位。下面我们将通过简短采访一起了解下他的白帽黑客生涯,希望能给读者带来一些启发。
你是如何了解到黑客职业的?
记得应该是七八年级左右吧,我开始捣鼓游戏模组和配置。比如我可以对客户端做一些调整,获得比其他参与者更多的优势。可能这种迷恋和兴奋激发了我的好奇心并最终引领我继续学习计算机和安全的一些东西。
为什么选择做白帽黑客并参加漏洞奖励计划?
我喜欢黑客活动带来的挑战。我觉得黑客活动和解谜题很像。如果不解数独,而是试试黑掉一家公司会怎样?虽然二者之间存在一些不同之处,如不清楚是否存在解决方案,但如果解决就会得赏弥补了这一点。另外有机会黑掉自己所用产品的厂商也很不错,这样我也不用担心自己数据的安全问题了。
你会选择什么样的漏洞奖励计划?
我认为拥有一支知识渊博且认真投入的安全团队是关键。我也很看中高额奖金表格。如果表格上列出的主要奖金额度低于其它计划的“中等”级别,那么我很可能都不会看。如果奖励计划涵盖的范围和产品广泛且是我熟悉的,那么也会提升我的参与兴趣。
你持续参与或不参与某项漏洞奖励计划的原因是什么?
还是那句话,让我持续参与漏洞奖励计划的是该计划安全团队的敬业程度。和真正关心安全的公司共事至关重要,它们愿意和我一起提升、识别漏洞的完全影响。我认为快速支付奖金也发挥着重要作用。我通常不会参与低估所提交漏洞安全性的计划。如果漏洞奖励计划对疑问不理不睬或者未通过公司内部知识考虑漏洞的全部影响,那么我也对计划无感。除此之外,很难持续参与奖金支付速度缓慢的计划,因为它会让你觉得很挫败。修复速度慢的漏洞奖励计划也让人难以持续,因为可能会产生漏洞重复的问题。
你一次关注几个漏洞奖励计划?为什么?
这个数量不固定,取决于我要实现的目标是什么。如果我尝试在不同的漏洞奖励计划中测试一个 bug,那么会着手很多计划。如果出现一个看似很有意思的漏洞奖励计划,那么我可能会花一两个小时快速浏览下是否值得加大投入。这种情况我只会稍加关注。
你如何基于漏洞奖励计划判断先挖哪种类型的漏洞?
我会问自己这家公司关心的点在哪。
你如何了解最新的漏洞趋势?
阅读其他人的文章,了解他为什么能从从某个地方找到 bug而我却判断没有。
你认为公司在推出漏洞奖励计划之前应先考虑什么问题?
他们需要努力才能让漏洞奖励计划发挥最大作用。现在离和黑客打交道并仔细响应提交的漏洞报告还有很长一段路要走。黑客参与的是他们信任的漏洞计划,而建立关系是吸引回头客的关键。
你如何看待未来五到十年漏洞奖励计划的发展情况?
我认为还会继续壮大,未来将会有更多的公司将“漏洞奖励”列入安全预算中。
你有自己的导师或榜样吗?
我的好朋友 @ngalog 是个天才。我相信他能从任何目标中找出严重漏洞。
你对准黑客们的建议是什么?
所有黑客至少具有一种共性,那就是坚持不懈。有一种确认偏差是人们只会看到成功的bug 和exploit。请记住,在每个漏洞的背后都是数百个小时的有限成功组成的。继续打磨。继续学习。
推荐阅读
我是一名自由职业白帽黑客
挖漏洞能发家致富吗?HackerOne 诞生6名漏洞赏金百万富翁
原文链接
https://www.hackerone.com/blog/hacker-spotlight-interview-cache-money
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~
我如何判断漏洞奖励计划是否值得参加?如何获得最大收益?相关推荐
- GitHub 2019年漏洞奖励计划最值得回顾的2个精彩 bug
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 GitHub 发布博客文章指出,截止2020年2月份,GitHub 漏洞奖励计划已走过六个年头.GitHub提到,六年中支付的漏洞奖励 ...
- HackerOne 公布十大漏洞奖励计划“豪门”
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 HackerOne 平台发布第二份十大最成功的漏洞奖励计划榜单.评选标准是截止到2020年4月每家公司向黑客支付的奖励金总额. 这是 ...
- 索尼推出 PlayStation 漏洞奖励计划,最严重漏洞5万美元起步
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 索尼宣布推出 PlayStation漏洞公开奖励计划,奖励安全研究员和玩家在 PlayStation 4 设备和 PlayStatio ...
- 谷歌发布 Linux 内核提权漏洞奖励计划,综合奖金最高超30万美元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌在博客中表示推出Linux 内核漏洞奖励计划,为其三个月(截止到当地时间2022年1月31日).如研究员能在实验环境中通过已修复漏洞实现提权 ...
- 漏洞奖励计划的五大成功要素问答实录
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 媒体网站 Threatpost 邀请漏洞奖励社区的四名意见领袖参加了一场题为<运行成功的漏洞奖励计划的五大要素>的网络研讨 ...
- 微软将本地版Exchange、SharePoint和Skype 纳入漏洞奖励计划
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,微软宣布将企业本地版 Exchange.SharePoint 和 Skype 纳入应用程序和本地服务器漏洞奖励计划. 如研究人员能从这些产 ...
- MakeDAO 推出新漏洞奖励计划,最高赏金1000万美元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 负责维护和监管 DAI 密币的平台 MakerDAO 发布漏洞奖励计划,最高赏金为1000万美元. MakerDAO 是去中心化金融 (DeFi ...
- 欧盟委员会支持5个开源项目漏洞奖励计划,奖金池20万欧元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 欧盟委员会发布新闻指出,如研究员能在欧盟广泛使用的开源项目 LibreOffice.LEOS.Mastodon.Odoo 和 CryptPad ...
- Clubhouse 推出漏洞奖励计划,严重漏洞最高可获3000美元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 摘要 音频聊天室应用 Clubhouse 在 HackerOne 平台推出了公开的漏洞奖励计划:找到严重.高危.中危和低危漏洞的研究人员最多可获 ...
最新文章
- 图解|零拷贝Zero-Copy技术大揭秘
- 《一个程序猿的生命周期》读后感
- VNC介绍(第一篇)
- linux上安装python2.6.9_在Linux CentOS 6.6上安装Python 2.7.9
- Genome Research封面文章|张勇课题组开发方法绘制胚胎发育早期转录因子结合位点图谱...
- 动手学深度学习(PyTorch实现)(一)--线性回归
- 画图控件_用CAD画图,还不会用属性块?你不加班谁加班
- 解析FL Studio冻结小技巧
- 生活,不求深刻,只求简单。
- 可行性研究与效益分析
- 写了一个测试体质的工具,其实也可以用于算命。
- webrtc中视频采集实现分析(一) 采集及图像处理接口封装
- 基于卷积自编码网络结构的图像修复
- LDF转Excel;LDF转位定义;Excel转LDF;Excel转位定义;MatrixCreat(一)之LIN矩阵详解
- 电子元器件简介——芯片封装篇
- [踩坑]packets.go:428: busy buffer invalid connection
- 执行service iptables status时报错
- 成人注意缺陷多动障碍在内外源冲突时的表现
- P4546 [THUWC2017]在美妙的数学王国中畅游
- 【python句柄获取】——简单明了的获取窗口句柄,并使用句柄操作获取相应内容(全网最详细)
热门文章
- python连接mongodb的库文件pymongo
- Delphi 延迟函数 比sleep 要好的多
- Mac(不限于)中几个有内涵的工具
- 【机器学习】深度学习开发环境搭建
- Centos启用rz/sz命令
- Matlab 图像预处理
- UID 修改 UID 锁死修复
- http://longshuai2007.blog.163.com/blog/static/1420
- [delphi函数]RenameFile 文件改名
- 自己实现Int32Collection(.Net 1.1),以及效率问题的体会