人物介绍

Douglas Day（@the_arch_angel），2013年毕业于俄勒冈州立大学计算机系，先后入职JIVE、OPAL、New Relic等公司从事安全工作，现为Elastic高级安全工程师兼独立安全顾问，Web安全专家，熟悉身份验证绕过和权限提升机制，加密解密研究者。目前，Douglas Day在HackerOne平台的有效提交漏洞为145个，名列第69名。

观看视频

采访实录

“你当时是如何接触到安全技术的？”

这大概要说到，当时我在一家运营有漏洞众测项目的公司工作，我的部份日常工作就是负责分类处理白帽提交进来的漏洞报告，在干了几个月后，我从中也收获了一些心得体会，我就想着其实我也可以发现并提交漏洞啊。

“你以什么方式保持挖洞动力？”

好多公司都在持续运转，且会开设新的漏洞众测项目，所以从这个角度来说，可以发现的漏洞都会是不同的，至少我认为从中可以发现一些与众不同的漏洞类型。

“你认为实时黑客比赛对技能有所提高吗？” 

实时黑客比赛确实对我有了非常大的提高，因为这种现场比赛需要讲究一些团队配合和协调参与，所以这种团队测试活动，有时真的需要烧脑的临场发挥和多方的互相帮助配合。

“你的漏洞测试目标是什么？”  

希望今年能发现一个RCE漏洞，也即远程代码执行漏洞，我差不多快有一年半的时间没发现过RCE漏洞了，我想是时候该发现了。RCE漏洞可以说是漏洞众测中的极品漏洞，在一些安全新闻报道中也时常可见，它们非常受欢迎，且赏金价码非常之高，但具有一定的发现难度。因为我好久都没有发现过RCE漏洞了，所以这对我来说极具神秘感但又需细致耐心。

“你是怎么找到新工作的？”   

其实，我入职现在的公司，原因在于当时我参与了一个特殊的漏洞众测项目，并成为了该众测项目的第一名，当时项目里的白帽朋友和该项目的HackerOne平台主管就联名向现在的公司推荐了我，在此，我得感谢HackerOne平台，能让我有展示机会并找到新工作。

“用漏洞赏金购买过什么好物？”    

今年刚好用漏洞赏金买了一套房，非常非常感谢漏洞赏金，前后我差不多用了一年时间，不断挖洞不断存钱，总算实现了买房梦想，这对我来说是非常有成就感的事。

“第一次受邀参与实时测试比赛是什么感受？”    

我第一次收到实时测试比赛的邀请时是在健身房里，恰巧那天过得相当糟糕，我选择在健身房里运动发泄，之后我立刻就精神焕发了。当我看到手机上的邮件提醒之后，顿时充满力量，马上完成了剩下的力量练习，可以说立马就情绪高涨了。另外我认为参与实时比赛，是我漏洞众测的一个里程碑，至少它让我从业余爱好发现了自己真正能做的事情，也让我的社交接触面和职场生涯有了发展和起色。

“好的众测团队需要具备什么？”     

好的漏洞众测团队，尤其是实时测试比赛中的众测团队，需要具备的一个关键因素是：需要大家积极沟通，如通过Google Hangouts、Skype或Slack等方式及时反馈交流，当然这种异步测试方式还不够，有时还需要大家坐到一起，对某些难点问题或目标应用功能不断讨论斟酌，这样才能让团队脱颖而出。

“对新手白帽有什么建议？”    

我能想到的最好建议就是，可以先从一些小的不活跃的众测项目练手，尝试去找这些很少人关注且相对冷门的众测项目，因为其新推出的功能应用或是代码更新，可能还没人测试分析过，你就可以从中入手尽力去发现，慢慢从第一笔赏金开始累积声誉积分；如果获得内部测试邀请，就要抓住机会，深入研究认真对待，因为一些内部测试项目相对特别且竞争面较小。

“有值得感谢的人吗？”     

必须要感谢的是我的妻子和女儿，是他们的支持让我有耐心废寝忘食进行漏洞测试，尤其是在比赛之前特别特别耗费时间，但是我的妻子和女儿，非常对我有信心，而且总是不忘向别人吹嘘我。我妻子是一名高中老师，她有时在教授课程中，会拿我的例子，去给她的那些对未来职业迷茫的高中生作为榜样和启发，有一些学生向她倾诉，希望以后从事安全行业，然后我妻子就会告诉他们我的经历，分享我在旧金山和拉斯维加斯从事的工作，所以看到她用我的例子，去鼓励去激发年轻一代投身安全行业，让我非常具有价值认同感。

*本课程翻译自Youtube精选系列教程，喜欢的点一波关注（每周更新）！