freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【FreeBuf字幕组】 国内优秀白帽黑客采访:lakes
2020-09-03 13:26:06

人物介绍

lakes漏洞盒子S级白帽,憨厚上进,仗义腼腆!低调的挖漏洞大神,在别人看起来运气好背后隐藏着不为人知的付出和努力,在这个些光环的背后是专注安全十二年。 坚持和细心是他的秘诀,黎明之前的天空最是黑暗,当要放弃时不妨再咬咬牙坚持一下,奇迹就会出现。

观看视频

采访实录

Q:怎么分配工作时间和挖漏洞时间的?

就是公司如果不忙的时候就可以做些自己事情,搞些安全研究,然后就可以挖挖洞。但主要是晚上,晚上时间多一点。

Q:在白帽圈里很多人想做你的徒弟,那你为什么没有收徒呢?

不是不收徒,我觉得搞Web的人的水平都差不多,其实也没有说谁高谁低,其实你会的他们都会。我觉得是从技术角度上说,Web没有什么门槛的,不像软件安全,软件安全可能门槛比较高一点,时间如果你研究的久的话,可能就拉开很多差距了。

Q:你觉得你跟JK大佬他们的区别是什么?

web其实研究方向也不一样,像我们是全黑盒的,就比如说全挖逻辑漏洞,越权注入的。但是JK他们可能是从代码审计程度来看的,比如说他可能是有一些源码,可以挖一些内部的漏洞。就比如说你打一个网站,它就一个登录页面,你如果全黑盒的话,就只能通过账户爆破,但是JK他们有源码的就不一样了。他从源码层看一下代码就可以从别的地方进来,就不需要登录了,所以说他们可能级别比我们高一点。

Q:实际工资和挖洞奖励是不是差距很大?

你猜!

Q:你更愿意把钱是花在哪块地方?

生活品质上嘛。比如说吃,我对吃的要求很高,我从来不吃盖浇饭盒饭之类的。因为年纪也30岁了,然后肠胃肯定要保养一下,不可能说老吃那个盒饭,对胃不好。衣服还好吧衣服,名牌也买,但是不会说买那个lv那种奢侈品。我觉得没必要,我已经过了那个年纪了。

Q:除了现金奖励,有没有其他奖励的建议?

其实白帽子还是想要钱的。旅游的话,它如果是附加的话,他也是喜欢的,首要是钱。其实你看有些白帽子,哪家钱多他就挖哪家。

Q:对于白帽子在挖洞过程中可能触发一些法规的边缘,你有什么建议?

这个主要还是靠你们(漏洞盒子),靠你们怎么宣传惩罚制度。你们有的时候比如说在项目里面说什么,如果不用vpn或者有什么操作会处罚,但是写的不详细。你们应该会告诉他有什么法律后果,不是说光什么封号了,封号他们有些是不介意的,你再弄个小号就行了。你告诉他,比如说你拖了几十个账号,人家可以告你信息什么窃取什么罪名。

Q:对于还是学生的白帽子有什么建议?

学生的话,我觉得他们时间多嘛。其实也不会耽误他们很多学业的,但是我觉得还是先学习吧,什么赚钱之类的可以往后拖拖,我觉得打好基础很重要。搞Web的其实水平参差不齐,比如说你想一个白帽子黑色键盘对吧,他两三年前也不是很厉害的,他也是慢慢打基础,然后开始慢慢熟悉很多漏洞的类型、攻击方式,才开始名气大一点的。

Q:国内和国外的挖洞方式有什么差别?

国外跟国内的区别,我觉得主要是国外可能更注重一些实际的影响。比如说xss国内可能就中低危,不会说给很高级别的。但是国外的话,如果你把xss研究很透,或者是你给他一个案例,我通过这个xss可以获取什么数据或者有什么影响,他们可能就给高危严重以上的,就是更注重实际影响。国内不会说我挖个洞,我还要找个案例什么,怎么影响,不会的。

Q:你能说出两个漏洞盒子比较牛逼的白帽吗?

我说年轻的吧:小笼包、黑色键盘这两个我觉得前途无量,以后我觉得是他们的天下。

# FreeBuf字幕组 # 白帽黑客 # lakes
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者