快 Talk
【快 Talk】是快手SRC全新推出的白帽专栏,本系列文章将带大家一起走进黑客白帽的世界,听听他们的挖洞技巧、干货分享、日常生活等等
白帽专栏 · 第二期
本期白帽:Chopper_D
【荣誉栏】
快手SRC 2021年 2月月榜第二 10月月榜第三 年度第三
下面听听他的Talk 秀吧?
Part 1
Respect 安全工具
刚入门时用的id:chopper、burpsuite,当时是觉得这些工具很酷,后来觉得应该respect这些经典,能改的基本都改成 D、限制昵称规则了就DDD,chopper_D等。
歪打正着入安全
大学时候其实是ACM队的,校外有人找到带队老师问有没有苗子,歪打正着写代码转安全入坑了。
SRC 打卡机
挖洞排名记不住了,大概情况应该是打卡了百家左右的SRC/众测了,其中通过高危以上漏洞的应该有七八十家吧。
Part 2
D师傅的碎碎念
现在经常看到新id白帽霸榜,建议的话就是不要太卷(哈哈,多给我们老年人一点机会)。其实是说真的(突然严肃脸),还在就读高中的同学努力学习考个好大学,还在上大学的同学学好专业技能、享受大好的校园时光。自己平时除了挖洞,也喜欢打篮球、刷悬疑剧、还有撸各大厂周边(T恤、卫衣、公仔等),私我要地址你们懂得吧。
一些建议
说挖洞经验的话,其实就那些东西。
首先肯定得具备扎实的知识基础,储备足够丰富的知识库,如此才能在实战遇到的时候灵活运用;其次是多挖多练多思考多总结,挖洞期间的总结是非常重要的,积累足够多的案例,慢慢总结就会发现其实常用类型的漏洞就那些;最后就是细心一些,注意下每个功能点,戒骄戒躁,就水到渠成了。
以上全是套话,挖洞的技巧其实就那些,掌握了就是重复劳动,挣钱不急于一时,年轻人有无限可能。总之:挖洞,有手就行。
Part 3
与快手SRC
在今年年初一次活动中运气爆棚直接挖到总榜二。
企业建立SRC挺好的,一方面企业可以提升安全防护,另一方面白帽子也可以增加收入,SRC和白帽子要共同维护好SRC环境。
其实快手做的很好了,良心SRC,很多漏洞都给了超过我的预期,要提建议的话,可以考虑引进月度、季度、或者年度奖励(此处疯狂暗示),来吸引更多白帽的持续输出,也可以多做些专项业务活动,新业务小范围众测活动等让白帽更加深入熟悉快手业务线。在此也呼吁更多大佬白帽来卷快手SRC。
The end
各位白帽师傅如对快手SRC有好的建议可以在公众号留言
?欢迎更多白帽加入快手SRC这个大家庭
点击阅读原文提交漏洞吧~
原文始发于微信公众号(快手安全应急响应中心):【快 Talk】百余家SRC/众测打卡机-D
