freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【FreeBuf字幕组】国内优秀白帽黑客采访:gdygdy
2020-08-24 17:22:39

人物介绍

gdygdy是漏洞盒子首批S级白帽,他有一种特殊的能力:即不喜欢按固有思维来看待问题。这让他能在多数白帽子对某个项目一筹莫展的时候发现别人发现不了的漏洞,也是他在漏洞盒子异军突起的重要原因。

同时他也是漏洞盒子的忠实粉丝,有一种成熟男性的责任感。不光发现漏洞,还会认真帮助客户复测,直至漏洞完整修复。

观看视频

采访实录

走上安全这个道路,开始挖漏洞大概多久了?

大概六年左右吧,五六年。

从什么时候开始挖洞的?

学生(阶段)应该算学习,然后当时也比较早,可能没有太多正式挖漏洞的机会。主要还是开发,以前。安全是一个业余学的,后来去的工作单位是安全公司,所以说我从开发转到了安全。

比较喜欢挖哪种类型的漏洞?

应该说是有个阶段吧,从那个刚开始挖漏洞(的时候)应该是什么漏洞都会挖。然后尤其是这几年,可能我对于一些原来的这些漏洞不太看了。最近比较喜欢一些业务逻辑啊,愿意结合业务上的问题,我觉得挖业务漏洞比较像和人的思维在作斗争,无论防护还是什么。一些其他传统漏洞当然也很厉害,但只不过是觉得那种比较固定了,可能就是没有意思。

其实除了现金奖励之外,比较重视什么奖励?

我现在应该没有什么感觉了,但是我觉得对于大部分那种新入职的白帽子我觉得更在于他能有那么一个荣誉,一个成就感我觉得很重要。当然到现在我感觉,更现实一点可能觉得奖金更重要了。

对你来说挖过最久的一个漏洞是什么?

有一个案例......应该说是某平台,不说是哪个平台了,我也记不太清了。当时漏洞是由于当时的那个平台的审核找到了(我),给分了个项目,说比较难,也一直没搜出什么漏洞,说让看一下。当时看的时候感觉,看着应该有问题,但是测起来吧,也没有发现什么大的安全问题。当时那段时间也不是特别忙,就可以每天有时间的时候就去看看,一般都晚上看一下,然后结合以前思路,慢慢的一个点一个点的最后出来漏洞。漏洞当然不方便透露,但是危害是挺大的。

对于工作和业余挖漏洞的时间分配是怎么样的?

应该说学习是在工作和挖漏洞中都在学习吧。然后挖漏洞的时间可能最近会更少一些,因为自从开始健身之后可能每天有固定的时间去健身,健身之后可能每天挖漏洞的时间就会大大缩短吧。怎么说呢,三者兼顾吧。可能工作不忙的时候我可以早一点去健身,然后多一点时间去挖,工作忙的话,那就没有时间挖漏洞了。

对于挖漏洞获得的奖金你是怎么分配的,是上交给老婆么?

这个没有什么留不留吧,也不算上交,反正是存起来嘛,就放那放着吧,也没有什么太多可去花的东西嘛。因为没有什么太多的爱好。

有没有特殊的学习渠道可以给其他白帽子分享?

我觉得更多可能有分阶段吧,你像干了几年之后,你可能通过一些平台渠道,尤其我们现在这个国家当前的状况,你可能想学到东西很难了(通过)公开的渠道,可能更多时候需要自己研究了。如果你刚开始入门,可能是有各种一些公开的信息,一些公开的漏洞或者一些方法。因为那时候你可能会的少,在哪里看到的东西都有启发。到一定程度之后,知道的多一点,可能学起来就比较费劲。这样也就上了年纪,到一定时间之后,学习的那个耐心可能就少了。然后你想学习,我们的FreeBuf上面有很多好的文章,也是适合非常多(学生)入门的。然后有些深入研究的,也是可以后续可以看的。

怎么评价漏洞马拉松线下邀请赛?

其实比赛更多是乐趣为主,有朋友一起来。难得有这么一个机会,平时大家各有工作,只能说在网上聊下天。这样有这么一个机会,大家可以线下见个面,一起聊一聊,其实我觉得这是很好的机会。同时,挖漏洞比赛其实奖励是次要的,更多的是那个环境氛围,然后大家有那么一个挖漏洞的一个场景。

# FreeBuf字幕组 # 白帽黑客 # 国内 # gdygdy
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者