人物介绍

Michael Gianarakis（@mgianarakis），澳大利亚安全公司Assetnote CEO，2007年毕业于澳大利亚昆士兰科技大学，历任德勤 (Deloitte)安全弹性高级分析师、Securus Global项目经理、Trustwave实验室Spiderlabs亚太区总监，拥有WEB渗透测试专家Certified Web Application Penetration Tester（GWAPT）和信息系统审计专家Certified Information Systems Auditor认证。

Michael早期专注于Web应用安全研究，曾帮助各种行业和平台解决了许多安全问题，近年来他把兴趣放到了移动安全领域，并在DEF CON、Hack in the Box 、YOW! 、Hotcon、Rootco、Black Hat等多个安全会议上有过演讲分享。 Michael还是澳大利亚本地安全社区SecTalks的创始人。Michael经常带领Assetnote公司团队参加HackerOne的各种线下漏洞众测比赛，一直都有优秀的漏洞发现。

观看视频

采访实录

“你当时是如何接触到安全技术的？”

我一直对计算机专业相关的东西比较感兴趣。真正从事安全行业的早期起步是大学毕业后，从渗透测试工程师做起的，而且干了好长时间，只是没有参与漏洞众测，直到我在Assetnote公司遇到了我的合伙人，是他慢慢的让我入行了漏洞众测。现在作为CEO，每天面对更多的是表格邮件等管理层的繁琐事宜，所以，参与漏洞众测成为了我学习技术和另外的一种放松方式，与全职工作不同的是，这只需要你带着兴趣参与测试，变换角度看待问题，保持技术敏感性。

“发现漏洞时是什么感受？”

可以从两方面来描述，如果你花时间去测试某个目标，但一直都徒劳无获 虽然你感觉其中会有问题，但就是没啥发现，这也是一种奇妙的感受。但如果你以不同寻常的方式，从中发现了一些漏洞，让人惊讶，虽然简单，但漏洞危害却很大，只是你无意间的发现，这又是另外一种奇妙的感受。这就有点像从感觉上来说，你认为目标是有漏洞的，经过不懈努力和反复测试，终有所获愿望成真，所以这是一种努力过后，有成就感的事，就像在这种线下漏洞测试比赛中，我们看到别人能大有发现，自己也能感同身受，因为好的漏洞发现，都是让人难掩兴奋之情的。

“你理解的黑客精神是什么？” 

黑客就是以创新或非凡的角度，去看待问题并解决问题的人，我理解的黑客精神，更多的是一种心态层面的，而不仅是技术层面的，这种精神是一种看待事物，面对事物的态度，就像我比较喜欢参与这种线下比赛一样，目的在于可以看到别人，去看待问题发现漏洞的方式方法，以及他们如何入手测试目标系统，所以从别人的想法和技术中，就能学习到很多东西，这是我非常看重的，而且也是区分优秀漏洞测试者和普通测试者的途径，所以我理解的黑客精神更多是一种心态层面的。

“你选择通过HackerOne参与漏洞测试的原因？”  

我喜欢在HackerOne上参与测试，它的项目多样且非常有意思，确实是一个优秀的第三方平台，对我们白帽非常友好且帮助很多。就比如上一场比赛中，我与HackerOne的一位员工有过一次谈话，我说我对移动安全非常有兴趣，他就给我了一些非常中肯的方向性建议，所以HackerOne员工很好，平台很好，项目很棒，这是其优秀所在。

“有需要感谢的人吗？”   

当然得感谢此次比赛的邀请方hackerone，以及承办方Uber，还有我们澳洲的Assetnote公司团队，和他们一起组团参赛非常有意思，我自己也从中收获很多。

“你觉得HackerOne的线下赛有何变化？”    

HackerOne的线下赛已逐渐发展成为更加专注于支持白帽群体去发现好漏洞，并从中体现重要价值的一种模式了，总体来说线下赛的合作性，确实能起到一种持续促进作用，并且也乐趣多多，反正我每次参赛的感受就是，一次比一次好整体都在不断优化，让我们来测试漏洞的同时，也能感受到很多乐趣，比如其中加入的一些社交活动，就很特别比上一次好多了 还有其中举办的，各种形式多样的派对。观光旅游，等其它大家可以一起交流的活动都是非常有意思有意义的。

“你收到值得珍藏的漏洞奖励物是什么？”    

每次参赛，都会获得一些T恤衫还有连帽衫，但都风格各异，要说喜欢的奖励物有点不好说，不过我真的喜欢T恤衫的，经常穿都不用买新的了，都是参赛获得的。非常好看好穿，设计款式和风格，也很时尚前卫，确实很帅气，所以我很喜欢穿。

“用漏洞赏金购买过什么好物？”     

当然是对Assetnote公司的运营管理了，可以这么理解，我们利用获得赏金的宣传来让Assetnote公司让更多人知晓，因为Assetnote公司想要突破就需要和很多有能力的公司竞争，而这其中获得赏金的技术就是一项重要展现指标。我们不断的去收获赏金就是一种很好的证明，如果我们能持续有更多新的漏洞发现，这就是我们的一个副产品，既能赚取漏洞赏金，又能为公司宣传起到导向作用。

“对新手白帽有什么建议？”     

想到就去动手做。这一块现如今有很多现成的网络资源，像我当时入门的时候根本不像现在，那会还没有漏洞众测的说法，网络也不像现在这么发达，现在网上有现成教程，各种技术分享，所以大家只需要去随便找到学习就好，并且就是现在参与漏洞众测完全是合法行为，遵守规则和测试范围，保持动力就好，而且还能测试到各种各样形式各异的全球各地目标，会大有收获。另外一点就是白帽社区非常强大，要积极融入参与，特别是漏洞众测领域相关的，反正我在其中接触到的每个人都非常乐于分享，乐于助人，只要你参与其中总能有所收获和感受。像我就参与了一些社区活动可以和大家一起协作讨论，学习一些新的知识技术。所以，立马动手，不要闭门造车，多与人交流讨论，也要多分享。

*本课程翻译自Youtube精选系列教程，喜欢的点一波关注（每周更新）！