@cache-money是一位颇有影响力的白帽黑客,之前是一名软件工程师。经过一年的全职漏洞猎人生涯后,他又回归到红队安全工程岗位,并在业余时间继续挖洞。他向政府运行的漏洞奖励计划累计提交100多个漏洞,并为多家大厂如优步、Shopify、GitHub、Salesforce 发现多个严重漏洞。他已在 HackerOne 平台上提交了600多个漏洞,目前世界排名第31位。下面我们将通过简短采访一起了解下他的白帽黑客生涯,希望能给读者带来一些启发。
记得应该是七八年级左右吧,我开始捣鼓游戏模组和配置。比如我可以对客户端做一些调整,获得比其他参与者更多的优势。可能这种迷恋和兴奋激发了我的好奇心并最终引领我继续学习计算机和安全的一些东西。我喜欢黑客活动带来的挑战。我觉得黑客活动和解谜题很像。如果不解数独,而是试试黑掉一家公司会怎样?虽然二者之间存在一些不同之处,如不清楚是否存在解决方案,但如果解决就会得赏弥补了这一点。另外有机会黑掉自己所用产品的厂商也很不错,这样我也不用担心自己数据的安全问题了。我认为拥有一支知识渊博且认真投入的安全团队是关键。我也很看中高额奖金表格。如果表格上列出的主要奖金额度低于其它计划的“中等”级别,那么我很可能都不会看。如果奖励计划涵盖的范围和产品广泛且是我熟悉的,那么也会提升我的参与兴趣。还是那句话,让我持续参与漏洞奖励计划的是该计划安全团队的敬业程度。和真正关心安全的公司共事至关重要,它们愿意和我一起提升、识别漏洞的完全影响。我认为快速支付奖金也发挥着重要作用。我通常不会参与低估所提交漏洞安全性的计划。如果漏洞奖励计划对疑问不理不睬或者未通过公司内部知识考虑漏洞的全部影响,那么我也对计划无感。除此之外,很难持续参与奖金支付速度缓慢的计划,因为它会让你觉得很挫败。修复速度慢的漏洞奖励计划也让人难以持续,因为可能会产生漏洞重复的问题。这个数量不固定,取决于我要实现的目标是什么。如果我尝试在不同的漏洞奖励计划中测试一个 bug,那么会着手很多计划。如果出现一个看似很有意思的漏洞奖励计划,那么我可能会花一两个小时快速浏览下是否值得加大投入。这种情况我只会稍加关注。阅读其他人的文章,了解他为什么能从从某个地方找到 bug而我却判断没有。你认为公司在推出漏洞奖励计划之前应先考虑什么问题?他们需要努力才能让漏洞奖励计划发挥最大作用。现在离和黑客打交道并仔细响应提交的漏洞报告还有很长一段路要走。黑客参与的是他们信任的漏洞计划,而建立关系是吸引回头客的关键。我认为还会继续壮大,未来将会有更多的公司将“漏洞奖励”列入安全预算中。我的好朋友 @ngalog 是个天才。我相信他能从任何目标中找出严重漏洞。所有黑客至少具有一种共性,那就是坚持不懈。有一种确认偏差是人们只会看到成功的bug 和exploit。请记住,在每个漏洞的背后都是数百个小时的有限成功组成的。继续打磨。继续学习。
https://www.hackerone.com/blog/hacker-spotlight-interview-cache-money
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~