专访丨互联网安全城市巡回赛冠军肖策:“大满贯”背后的秘密
导语:你所看到的让人欣羡的荣耀时刻,是背后无数个日夜的辛苦付出!
在2019互联网安全城市巡回赛·西安站中,有一个白帽子拿下了8家大满贯,这位大神就是【火石计划杯】精英白帽挑战赛的第一名:Reckfulyx,中文名:肖策,圈里人都叫他R师傅。今天我们有幸采访到了R师傅,了解到“大满贯”背后的一些故事。
01、一个不安分的法律学生
本科是法律专业的R师傅,不安于现状,飞去美国读了网络安全专业,偏安全管理方向的研究生。毕业后在2015年年底进入了某测评中心工作,刚开始做的是网络舆情,与网络安全技术方向并不沾边,但媒体上经常报道出黑客相关的新闻让这个圈外的小伙子产生了浓厚的兴趣与崇拜感。
抱着浓厚的兴趣在2016年的夏天,R师傅的哥哥Bruce准备在西安筹办西部Kcon大会,当时的R师傅还是一个不懂技术的圈外人,只能当个跑腿司机去机场接参会嘉宾。两天8趟往返于机场和酒店之间,虽然比较辛苦,但是正是这个机会让他接触到了冰河夫妇、呆神、Oscar这样的圈内前辈,通过聊天后,R师傅发现他已从感兴趣上升到了对这个职业的向往。于是在2017年的10月份,正式开启了白帽黑客学习之路。
02、菜鸟到高手的蜕变
学习从来不是一件容易的事,尤其是非科班出身,R师傅谦虚的说他是智商与理解能力很一般的人,所以提升自己的唯一方法就是坚持,别人看一遍的他看两遍,四遍、八遍,直到学会为止。这样的学习方式搭配他的偏执型性格,使得在网安的学习路上打下了坚实的基础。
采访过程中,R师傅有一句话值得大家共勉:“这个世界即便是有天才,那也一定是极少数。所以那些真正的大牛,一定是付出了极大的努力,长此以往才能走上巅峰。”
万事开头难,学习初期浓厚的兴趣并不能填补零基础的空白,甚至连‘C段’、‘子域名’都不知道是什么。R师傅说:“记得接触到的人生中第一个漏洞,是当时很火的Struts2命令执行,这里非常感谢我当时的同事,不厌其烦的给我演示。”
- ‘net user xxx /add’
- ‘net localgroupadministrators xxx /add’
- ‘net user xxx /del’
当时这几个命令执行了50多遍,一直感叹于黑客技术的神奇。但这毕竟是一个甲方单位的网站,并不能让他体验很久。他开始苦恼于不知如何找地方进行实练,最后在万能的百度尝试输入:Web安全哪家强?于是顺利的开始了i春秋的萌新之旅。
R师傅说i春秋确实是国内专业的技术学习平台,靶机环境让他每天与各种漏洞亲密接触,在i春秋论坛可以看别人分享的成功经验,学习各种实用工具,向技术大牛请教专业问题,在这里真的可以让小白少走很多弯路。
论坛快速通道:https://bbs.ichunqiu.com/portal.php?from=weixin
03、挖洞宝典
从2018年2月R师傅正式开始接触SRC的漏洞挖掘,截止到现在基本上所有的Web漏洞都有所涉猎。关于SRC的漏洞挖掘技巧,他总结了以下两点:
第一是信息收集。你收集到别人没有的资产,机会就多了几分。
第二就是思路。R师傅说:“在我抱怨挖不到漏洞的时候,我的朋友Mango告诉我,如果一个漏洞特别显眼,你能发现,其他白帽子也能发现,厂商也能发现,那还有什么意义。所以独特的思路、灵活的进行各种测试才是王道。我能挖到漏洞,并不是因为我技术好,而是因为信息收集的多、思考得多。”
参加了多次挖洞比赛,R师傅说最刺激的应该就是这次互联网安全城市巡回赛线上赛,8家SRC大满贯的话还可以额外加200分。其实中间有两家一直没有挖到漏洞,十分苦恼,最后在截止日当天的23:55提交了一家的SQL注入,23:58提交了另外一家的csrf,绝杀,刺激!
04、经验分享
有很多新手小白在i春秋论坛或者交流群向R师傅请教学习方法,R师傅说:“其实我个人觉得Web安全是最好入手的,简单谈一下对Web的理解:
如果是相关专业的或者程序员之类的,那么恭喜你,直接找找漏洞原理然后上手操作就好。
如果是跟我一样零基础的,最重要的就是有强大的兴趣和欲望支撑自己学下去,因为光辉时刻总是很短暂的,背后是无尽的孤独与煎熬。”
在他看来,工作和学习都是需要经历各种失败与挫折,然后不断的总结、完善。在这个领域里,很少有人可以做到大满贯,把Web、CTF、APP、逆向、工控全部涉猎,所以R师傅选择Web作为唯一的方向。
圈内前辈很多,各种实战经验、技巧的分享文章也很多,并不需要独创一门自己的学习路线。R师傅选择使用他的偶像猪猪侠在先知大会分享的议题作为自己的学习路线。
目前R师傅给自己定的短期规划是先学会PHP与SQL,然后在不断的实践中完善相关的知识体系。他希望未来也可以像猪猪侠一样,成为一个全能型的精英白帽。以上是R师傅的经验分享,最后他祝大家在这条‘不归路’上面越走越远、越走越好。
PS:如果你想向大佬们请教问题,或者想与其他人分享学习的心得感受,欢迎进群交流:262108018,在这里,会有一群志同道合的小伙伴,让你的网安之路不孤单!