专访腾讯TSRC新锐奖得主、挖洞新星instruder

2013-10-10 473126人围观 ,发现 25 个不明物体 人物志周边


9月腾讯推出的「漏洞现金奖励计划」轰动了国内安全圈。近日腾讯颁发了半年度大奖,共送出了24万元奖金(一个10万,一个5万,三个3万)。奖金数额虽与国外土豪公司不能同日而语,但这在国内互联网安全大环境下还属首次,至少让白帽子们对未来有所期待。

1

本文采访对象是“挖洞领域一颗新星,为刚获得3W元奖励的新锐奖得主之一—instruder。instruder是2011届毕业生,现供职于翰海源科技,主要工作为产品研发支撑、APT威胁防御。


找一些攻击界面比较大的产品去测试,挖出漏洞的概率会高很多” 

跟FreeBuf的小伙伴们打个招呼,自我介绍下?

HI,大家好,我是instruder,来自安徽,当前供职于南京翰海源信息技术有限公司,主要从事APT威胁防御,漏洞挖掘、分析、利用。

有预料到会获得这个新锐奖吗?

没有预料到,没有预料到腾讯会有这么大的动作。

你从什么时候开始为TSRC挖洞的?

从2012年开始的吧,去年的7、8月份tsrc平台出来之后。

成为TSRC平台白帽子的初衷是什么?业余平均会花多少时间在这上面?

初衷是想提交漏洞拿一个ipad玩玩,仅此而已。一般会看平台的一些活动,有些活动的话便抽出一点时间找找漏洞,大概几天时间把。

这一路困难吗?

不是很困难,主要腾讯客户端之前提交的人也少,而且国内的产品质量上跟国外还是有些差距的。

从腾讯建立TSRC以来,在你挖洞的这段时间里,能感觉到漏洞越来越难挖么?漏洞挖掘与早年相比有什么变化趋势?

还好吧,主要是不同的思路总是可以找到一些不同的漏洞,但随着平台的继续,在产品不再大的变化下,还是会越来越难的。好像还没有发现啥大的变化趋势。

你提交的漏洞里主要是哪种类型漏洞?或者你比较倾向于关注哪种类型的漏洞?

我提交的主要是权限提升类的比较多,这些漏洞基本上很少需要去逆向追踪的,之前腾讯的平台对于客户端奖励并不是很多,而且客户端相对挖掘难度大一点,找出来之后还得详细分析出根本原因,成本很大,所以我在这些漏洞提交平台上很少会花时间逆向详细分析。

作为挖洞高手,给新人们一个学习建议吧。比如如何挖到高危漏洞、倾向于使用什么工具、方法?

给新人们的建议主要就是找一些攻击界面比较大的产品去测试,这样挖出漏洞的概率也会大很多。比如要挖到高危漏洞,首先就要关注可以远程发起的攻击界面,如管道、开放端口、QQ发送的消息等,看这些数据的处理是否存在问题。方法主要是黑盒fuzz测试以及数据流污染追踪的办法,这个可以参考我们公司的安全测试页面的详细描述。

欢迎在Freebuf与大家科普和分享挖洞经验。

好的。

说说TSRC吧。相比其他漏洞平台,哪些地方更吸引你?又有哪些地方需要提高?

在此次大的活动之前,腾讯的漏洞提交平台在web漏洞提交上有非常大的优势,但是在客户端漏洞提交上面很明显的劣势,从她的名人榜上的积分就可以看出来。由于平台的评分以及奖励政策,导致之前客户端漏洞很少的人愿意去提交,主要是成本太大,无论从奖励还是荣誉都不及web。现在平台将客户端和web分开,同时积分政策客户端的也偏高,每月会有客户端漏洞提交积分第一名的有额外奖励,还是很有必要的,稍微有一点吸引力。相对其它漏洞平台,360的漏洞提交对于客户端方面还是有点优势的,web方面基本不关注,不便做评论。

当前觉得tsrc上对于客户端的修复完毕之后应该给予相应的版本连接,很多时候提示修复完成,但是页面上并没有相应的产品更新,也无法去复查。还有一个就是礼品及时缺货更新:)

觉得腾讯TSRC的同学怎么样?比如平时审核的泉哥、xcx33、meizi、二胡等,平时接触中有什么趣事?

跟他们相处还是非常不错的,自己虽然作为乙方,还是非常理解甲方的。对他们很信任,甲方既然开门收漏洞,就不会偷偷摸摸,故意做些小动作的。很多提交漏洞的本身就带着敌对的态度,一旦出现什么漏洞别人提交过了,漏洞忽略等情况就大吵大闹,各种微薄炒作,实在是很蛋疼。

TSRC漏洞的审核机制怎么样?响应怎么样?

审核机制还不错,严重的漏洞响应也是非常及时的。唯一就是客户端漏洞前面提到的,缺少修复之后版本的更新提示,不好及时复查。

3w元大奖准备怎么花?

还没想好,先去喊同事吃饭去哈哈


“女朋友是用来疼的”

你在翰海源的主要工作是什么?

当前主要负责产品核心功能支撑这块,做apt防御研究实现。

据了解你不是计算机专业?是什么让你选择安全这条路呢?从毕业到选择的过程是怎么样的?

嗯 我是算机械&化工结合的一个专业,选择安全这条路是从大四的时候到翰海源实习开始的。

原本是打算做做驱动开发、游戏保护之类的。后来由于到翰海源从事安全测试开始进入安全行业。

简单介绍下你正在开发的APT检测引擎

最近快一年时间基本上都在做沙箱检测引擎这块,是一个深入分析系统,里面充满各种猥琐好玩的检测技巧。

你是纯技术宅男吗?有女朋友吗?

算是吧。

有女朋友,女朋友放假的话就会陪她一起出去玩玩。

女朋友用来干嘛?(笑)

用来疼的啊……我会在这里说女朋友是用来干嘛的?!

又到了Freebuf特色、传统问题时间,那么你喜欢的女优是?

(深思状)好像没啥特别喜欢的,就苍老师好了……


这些评论亮了

  • p0tt1 (6级) 黑客叔叔,RainRaid和SniFFeR.Pro团队负责人 回复
    问:女朋友用来干嘛?
    答:嗯!
    )27( 亮了
  • anlfi (5级) 回复
    又到了Freebuf特色、传统问题时间,那么你喜欢的女优是?
    最喜欢的AV女优是RIO
    嗯嗯
    )17( 亮了
  • 程序猿 回复
    搞IT的有女朋友?? :mrgreen:
    )14( 亮了
  • 楼上河蟹是假的 回复
    我发现freebuf小编问的问题都挺猥琐的,哈哈
    女朋友是用来干嘛的?好问题……
    )12( 亮了
  • 河蟹 回复
    @楼上河蟹是假的 都说了,是“用来干”嘛~~~的。
    )11( 亮了
发表评论

已有 25 条评论

取消
Loading...
css.php