freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

白帽专访丨大家好,我是阿杨,一个全职挖洞的选手!
2022-03-08 11:37:47

白帽江湖人才辈出,传奇人物不胜枚举,这里只用实力说话,也许你没见过大佬真容,但ta的“传说”或许早有耳闻~

Xrayteam安全团队的xxxeyJ:“挖洞只是展现个人能力的一种形式,短期内的确能产生一定收益,但不要让它成为体现你个人价值的唯一标准。”

The loner安全团队的月神:“白帽子都感受过挖洞的孤独,没人分享喜悦,也没人倾听悲伤。虽然团队名叫孤独者,但是我们希望把每个白帽子凝聚在一起,从此不再孤独!”

渊龙Sec安全团队:“为国之安全而奋斗,为信息安全而发声。技术是枯燥乏味的,如果你决定进入网安行业,请一直保持热爱!”

......

PS:文章篇幅有限,不一一列举了,感兴趣的小伙伴可在文末查看更多精彩故事。

本期人物介绍

大家好,我是恶灵,今日探寻1位神秘白帽,这位大佬挖洞超赞,多年实战经验和独家挖洞秘籍要分享给新手小白,拿好小本本速来围观!

大家好,我是阿杨,来自The loner安全团队,挖洞多年积累了不少经验和“财富”。除了挖洞,我还有很多喜欢做的事,如果咱们志趣相投,欢迎随时找我交流~

看学霸阿杨如何开启挖洞之路

恶灵:哈喽,阿杨,先跟大家打个招呼吧!

阿杨:各位师傅们好,我叫阿杨,目前是The loner安全团队的全职挖洞选手。

恶灵:阿杨师傅大学的专业是网络安全专业吗?

阿杨:不是的哈,我在大一学的是工程造价,大二才转到了软件专业。

恶灵:师傅厉害了,听说中途转专业至少要同专业年级前10%吧!

阿杨:哈哈哈,差不多吧。

恶灵:这成绩也太优秀了叭,学渣自愧不如。(赶紧转移话题)

恶灵:又是什么原因让师傅开始挖洞了呢?

阿杨:这就说来话长了。最初我只是一名小小的前端开发,但有一说一前端工资太低了,所以我选择了离职自学渗透测试。刚开始自学的时候一直是堂哥带我,因为是亲戚,问题都是随便问,所以进步的很快。然后我自认为我还是有点天赋的,后续加上看看视频,看看资料,又背了些面试题,很轻松就拿到了三个渗透offer 。经过一年多的工作实践后,我发现我越来越喜欢挖洞了,就在2020年底正式开启了我的全职挖洞生涯。

阿杨大佬的“挖洞攻略”

恶灵:阿杨,你挖哪个方向的洞比较多或者说更擅长哪一方面的漏洞呢?

阿杨:我基本都是挖Web方向的业务逻辑漏洞,同时也很喜欢里面的支付漏洞。当然也是因为企业的这些漏洞比较多,而且基本上都是严重高危漏洞,我自己也更擅长这一方面。

恶灵:那想问问大佬,你觉得哪个行业的漏洞更香啊?

阿杨:其实漏洞香不香,主要是看行业,看SRC。另外像内测、众测,自己的小单子其实都会有参与。

恶灵:大佬可以向大家分享一次印象最深的挖洞经历吗?

阿杨:好啊,去年九、十月份的时候,我在hacker one上的shopify这个厂家挖到了一个域名不在他们计划范围内的漏洞。

阿杨:原本我并没有去拿报酬的想法,就是随意提交的,结果没想到该漏洞被判定为足够有影响力,值得裁决,并奖赏了1000刀,简直太不可思议了。这种突如其来的惊喜令我高兴了一段时间。

恶灵:大佬这么厉害,可以跟大家分享下你的挖洞秘籍嘛,或者说有什么挖洞小窍门嘛?

阿杨:也谈不上是挖洞秘籍,就跟大家做个经验分享吧。我觉得挖洞的前期准备真的很重要,一定要对业务流程和资产信息有足够了解,甚至做到比业务还熟悉业务流程,比开发还熟悉接口参数。(小编在线懵逼,持续膜拜大佬中……)

另外,你需要花费时间去研究和学习。往往一个功能点,在你多次挖掘和深入研究之后,可能会发现之前没发现的漏洞,这样也会增加自己挖洞的成就感。更想告诫大家的是,挖洞这条路没有捷径,都是靠平时一点一滴的积累变成自己宝贵的经验财富。希望各位白帽师傅们能够戒骄戒躁,在挖洞时一定要沉下心来。我相信最后一定可以收获到丰厚的果实!

靠“肝”挖洞的大佬的“私生活”

恶灵:大佬平时是在怎样的环境里去“肝”的呢?

阿杨:我有“哈哈”啊!它是个既聪明又可爱狗狗。每当我挖洞的时候都会跑过来陪着我一起“肝”,只不过它的陪伴方式是在我的脚底打呼噜。当我挖累,没动力的时候,它就会瞬间苏醒好像知道我累了,我需要它。然后我们两个就会玩它最爱的“捉迷藏”,它总是找不到我,然后便会听到它嘤嘤嘤的哼唧声,瞬间我就有种被治愈的感觉,并再次燃起“肝”的动力。

恶灵:除了和狗狗玩耍,还有其他有助挖洞的兴趣爱好吗?

阿杨:有啊,有啊!我还喜欢打游戏,并且钟爱云顶之弈,当然LOL也玩。我还有个特殊的习惯,喜欢在凌晨的时候边听歌,边游戏,边挖洞。我觉得这样挖洞会很有感觉。而且我非常喜欢凌晨的时候挖洞,很多高危漏洞都是凌晨的时候出来的。

恶灵:不愧是大佬,挖洞的“姿势”也那么不同。最后,大佬有没有挖洞的好物分享啊?

阿杨:有!我已经安利给了我群里所有的师傅,并且他们都下单了。就是发财树!这个小小的放在电脑旁刚刚合适,而且总感觉它会给我的挖洞带来些好运气,还有就是这个绿绿的也会对眼睛好一点,毕竟我们挖洞可能会持续盯着电脑。

大佬在i春秋·春秋云测的精彩故事

恶灵:大佬挖洞这么久了,有没有参与过我们的春秋云测呀?

阿杨:其实我很早就关注过i春秋·春秋云测,并且参加了很多期的众测项目,更是在去年参加了互联网城市巡回赛,并且那次成绩还不错,同时借助那次线下活动见到了很多仰慕的大佬们,非常感谢i春秋举办的这些活动,让我有机会同大佬们面基。

我也希望后续可以和i春秋·春秋云测开展更多的合作,同时希望i春秋可以提供更多有趣的众测活动让我们这些白帽子有交流学习的机会。

最后,最后,我还想跟各位白帽师傅们安利下【i春秋·春秋云测】平台。内含多种众测项目,不仅可以积累经验,提高实战技能,还有机会赚取丰厚奖金和结识更多技术大佬哦!

本期白帽采访就结束啦

更多大佬成长故事

请继续关注i春秋

本文作者:, 转载请注明来自FreeBuf.COM

# 渗透测试 # 漏洞挖掘 # 白帽子
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑