freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【FreeBuf字幕组】HackerOne优秀白帽黑客采访系列-André Baptista
2019-05-06 10:00:56

人物介绍

André Baptista(@0xACB),葡萄牙人,波尔图大学信息安全系特邀教授,波尔图电脑与系统工程研究院(INESC-PT)高级研究员,波尔图大学CTF战队ExtremeSTF队长,业余漏洞赏金猎人(Bug Bounty Hunter),喜欢二进制漏洞利用和逆向工程。

André是典型的由CTF选手转型Web挖洞的安全研究员,他曾在ShiftAppens 2014、 s3c|th0n Mobile Security Hackathon 2015、S3cthon CTF 2016和H1-702 Mobile 等多个地区性CTF竞技比赛中展露头角,并通过CTF比赛获得了HackerOne线下黑客马拉松大赛参赛资格。之后,于2018年3月,以一个价值$25,000美金的Shopify SSRF高危漏洞荣获H1-202大赛“最具价值黑客”称号(MVH)。也就在最近,André和他的团队,发现了Steam游戏客户端的一个远程代码执行(RCE)漏洞,以此得到了$18,000的奖励。

观看视频

看不到视频点这里

采访实录

两个高危大奖漏洞让André Baptista名震江湖,但他自己也坦言;“要挖到类似的漏洞非常难"。就拿他自己来说,由于此前一直参与的是CTF比赛,在2018年才真正接触到漏洞众测,所以还需要继续加强学习。

我认为,CTF和漏洞众测是完全两个不同的领域,一个注重漏洞利用,一个注重漏洞挖掘,需要对这两个方向做到融会贯通才算得上是真正的高手。

“你是如何接触到黑客技术的?”

当我在少年时期,我就接触了电脑并自学编程。有一天我从老爸的书架里,发现了一本编程书,之后我就幻想着能不能像电影里的演员那样,酷炫地操作电脑,所以我就开始了学习电脑技术。后来,慢慢参与了很多CTF竞技比赛,从中有了收获提高,真正到了2018年才正式开始做漏洞众测。

“和我们聊聊你在H1-202上获得的‘最具价值黑客’(MVH)?”

我第一次参与HackerOne的实时比赛,是2017年的拉斯维加斯,那是我此前从未有过的体验。当时我们共有三个目标系统,但我一无所获。由于我是从CTF转型过来的,CTF领域注重于,对某些软件程序的漏洞利用,意思就是,漏洞是实际存在的,只是利用过程有难度。当时来到拉斯维加斯参赛时,我没有任何漏洞众测经验,这是我第一次接触该领域,然后失败而归。但之后我又再次获得2018年度,在华盛顿举办的参赛资格,赛前我进行了很多有针对性的训练,期间还发现了我的第一个众测漏洞。因为我一直在测试Shopify上面的相关漏洞,所以,到了华盛顿之后,我又接着针对其功能特性和日常业务做了大量的分析测试,接着就发现了一个很不错的漏洞,它是一个影响系统的严重漏洞,极具隐患。所以最终我就凭借它赢得了MVH奖励,有点疯狂。有好多选手都发现了一些不错的漏洞,所以当我获得了MVH奖励时,我还有一些惊讶,因为我觉得其他人也可获此殊荣。最终我总结来看,还要得益于我测试时的创新思路,和我当时优异的临场发挥,才能发现该漏洞并最终赢得MVH荣誉。

“你是从CTF比赛中成长起来的,CTF对你后来的漏洞众测(Bug Bounty)有什么影响和帮助?”

我从CTF比赛和其相关的解题报告中学到了很多,没有CTF比赛中收获的经验,我也不可能发现得了某些高危漏洞。CTF和漏洞众测从本质上来说,还是存在一些区别,CTF注重对实际存在的漏洞利用,而漏洞众测则偏向于实战的漏洞挖掘。我认为,CTF和漏洞众测在技术是可以互补的两个领域,加强对这两个领域的训练可以切实提升个人黑客技术。另外,打CTF比赛过程中的刻苦钻研和废寝忘食,也让我形成了对技术坚持不懈的个性,这也是漏洞众测中必不可少的精神。

“对新手白帽有什么建议?”

对那些想入门漏洞众测的人来说,我建议还是要多多看书,多参加安全会议,汲取别人的演讲精华;多读漏洞报告(Writeups),Hackerone CTF的漏洞报告也不错,它们都是极佳的入门资源。可以多参加HackerOne上的CTF比赛,通过比赛可以像我一样获得线下赛资格。虽然CTF和漏洞众测两种性质不同,但你对它们都需要掌握。另外还有HackerOne推出的hacker101课程也非常不错,因为我曾在波尔图大学和我的CTF团队中讲授过,我也经常用其中的视频和相关资源进行教学,很多人都从中受益匪浅,当然了你也可以用它来自学。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

# HackerOne # FreeBuf字幕组 # 白帽黑客 # André Baptista
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者