【白帽十问 】佛系白帽,挖洞随缘

资讯 2年前 (2022) admin
362 0 0
【白帽十问 】佛系白帽,挖洞随缘

最近“松弛感”这个词火了。

面对生活、工作时拥有一种轻松愉悦的态度成为人们的向往。越来越多排行榜Top和月入10w+大佬的涌现,无形中给白帽子们增加了许多压力,如何早日成为一名“大牛”,通过挖洞实现财富自由,成为很多白帽子的向往并为之努力,同时也成为一个压在背上沉甸甸的包袱。

在这样竞争愈发激烈的网安环境下,有这样一位“佛系”的白帽,今天我们和他一起聊聊他的佛系挖洞日常。



【白帽十问 】佛系白帽,挖洞随缘

嘉宾简介:

SaD,从事网络安全5年左右,擅长渗透测试,漏洞挖掘。4家SRC Top10白帽,6家SRC Top3白帽。目前在某公司担任技术负责人兼项目经理,从事的技术方向:渗透测试,攻防演练,安全服务。



Q1:从2017年开始挖洞至今已经快6年了,挖洞累计获得多少收入?目前为止你获得的最好成绩是?

 SaD :前几年挖洞比较频繁一些,近2年挖的少,挖洞收入没有细算过,应该是在6位数左右,用来付了房子的首付。目前为止获得的最好的成绩是单个漏洞奖励1w左右。

 

Q2:印象最为深刻的一次挖洞经历是什么?

 SaD :某天晚上,抽着烟,挖着洞,一晚上了一个都没有挖到,不信邪,对一个网站死磕了起来,只有一个登录框,用户名规则不清楚。没办法就一步一步搞,找到了用户名规则,拼音加数字,又fuzz到了一个接口,可以探测用户名是否存在,最后成功登录,拿到了高危。

突然发现,自己挖漏洞有时候太浮躁了,只要肯下狠心,足够细心,总会有收获的。有时候挖洞也是看感觉,可能突然某个瞬间就可以全身心沉静下来,投入进去。

 

Q3:工作与挖洞的比重各占多少?如何平衡工作、生活与挖洞?

 SaD :工作80%,挖洞20%。

白天工作主要是项目管理,渗透测试。晚上有空了就挖挖洞。随着年龄的增长挖洞的时间确实越来越少,现在都是随缘挖洞,已经佛系了。

 

Q4:你认为成为一名合格的白帽子,需要具备哪些基本职业素质?你觉得自己还有哪些方面需要努力?

 SaD :有耐心,有底线,在挖洞过程中经常会挖到大量数据泄露,一定要点到为止,能够证明就赶紧提交,不做深入操作。

在漏洞思路和思维上,我觉得自己还是需要再活跃一些,因为现在挖洞大部分都是偏向逻辑漏洞了,需要思路清晰且多花样。

 

Q5:对你来说,“挖洞”是否有瓶颈期?

 SaD :“瓶颈期”我理解就是可能连续挖了半个月,一个漏洞都没挖到,导致越来越烦躁,没有耐心,静不下心来,这个时候我会歇几天,然后好好集中精力再挖一挖,大部分时候都会有收获,可能一晚上就能挖到好几个高危。所以还是需要耐心和细心,不浮躁,平时的话,还是要多看多听多学习,多看看资料,多听听别人是怎么挖洞的。

 

Q6:你有“偶像”吗?是否有加入安全团队?

 SaD :我的偶像是那些每个月挖十多万的大佬们,好多时间我都在思考“他们到底是怎么挖的!”一直很羡慕。

 

Q7:你如何看待白帽子与SRC审核之间的矛盾?有和审核闹翻过吗?

 SaD :互相理解。我觉得审核只是一份工作,SRC审核也需要去跟业务沟通,来回沟通可能就会出现一些问题。他们也是在能力范围之内,做好自己该做的事,双方能够做到互相理解,公平公正就好了,所以没必要闹矛盾。

 

Q8:用四个字评价自己?

 SaD :希望自己能够一直“不断成长”。

 

Q9:除了挖洞,闲暇时间会做什么?

 SaD :会经常去健身房运动一下,保持身体健康。

 

Q10:你是如何提升自己的能力的?有哪些学习渠道或建议给其他同行?

 SaD :多学多看多思考多尝试,平时的话就是百度谷歌多看看思路,然后通过其他人思路,尝试去举一反三,开拓新的思路。



 In the End 


无论是松弛,还是佛系;无论是步履不停,还是快马加鞭,找到适合自己的生活方式,努力时拼尽全力,休息时放下一切,开心挖洞,认真生活。

漏洞总会挖到,奖金总会拿到,明天一定会比今天更好。

Chill Out



点赞、在看,感谢你的阅读▼ 


▼ 点击阅读原文,进入活动页面

原文始发于微信公众号(平安集团安全应急响应中心):【白帽十问 】佛系白帽,挖洞随缘

版权声明:admin 发表于 2022年10月28日 下午6:00。
转载请注明:【白帽十问 】佛系白帽,挖洞随缘 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...