大家好,我是风溯,第三届百度大学生网络安全技能大赛个人第一
白帽江湖人才辈出,传奇人物不胜枚举,这里只用实力说话,也许你没见过大佬真容,但ta的“传说”或许早有耳闻~
Xrayteam安全团队的xxxeyJ:“挖洞只是展现个人能力的一种形式,短期内的确能产生一定收益,但不要让它成为体现你个人价值的唯一标准。”
The loner安全团队的月神:“白帽子都感受过挖洞的孤独,没人分享喜悦,也没人倾听悲伤。虽然团队名叫孤独者,但是我们希望把每个白帽子凝聚在一起,从此不在孤独!”
渊龙Sec安全团队:“为国之安全而奋斗,为信息安全而发声。技术是枯燥乏味的,如果你决定进入网安行业,请一直保持热爱!”
今天我们又探寻了1位神秘白帽
Ta就是
大家好,我是风溯,Day1安全团队成员,擅长挖洞,也因此获得一些小小的成绩。
曾获荣誉
2021年BSRC年榜第二
第三届百度大学生网络安全技能大赛个人第一
感谢恶灵表姐的采访邀请,这次主要来分享自己这些年挖洞的一些过往经历和心得感悟,对漏洞挖掘感兴趣的小伙伴欢迎随时交流学习。
1、认识风溯
恶灵:感谢师傅参加本期采访,先给大家打个招呼吧~
风溯:大家好,我是风溯,Day1安全团队成员,目前是一名在校大学生,平时喜欢打打游戏,唱唱歌,也喜欢和朋友一起出去看风景,爬爬山。
恶灵:挖洞之余还有其他的爱好吗?
风溯:也喜欢搞搞开发,用python写一些自动化小工具。
2、如何走上安全之路
恶灵:师傅是在怎样的机遇下接触的安全呢?
风溯:源于一次机缘巧合吧,偶然看到学弟在看c primer plus这本书,当时觉得很酷,脑海里联想到了黑客,虽然看不懂但是激发了小时候藏在心里的想法(满屏的黑客代码场景),然后开始各种百度如何当黑客,到后来也慢慢了解到Web安全,开启了白帽子之路。
恶灵:师傅有擅长或喜欢挖的漏洞类型吗?
风溯:我个人比较喜欢挖逻辑漏洞,类似越权漏洞,支付逻辑漏洞等等。
3、难忘的挖洞经历
恶灵:给大伙分享一次让你印象深刻的挖洞经历吧!
风溯:印象最深刻的应该是我SRC挖洞生涯的第一个高危,子域名接管漏洞。这个漏洞是我偶然看到一篇文章在讲这个,印象中有看到类似场景,就去尝试,结果就真的挖到了。
其实很多次的成功都是昨天刚学到的一个知识点,今天予以实践,就有收获,也可能是我运气比较好吧,哈哈。所以也建议大家有空就多学习新知识,说不定哪天就学以致用了。
4、Ta与i春秋
恶灵:对i春秋有哪些想说的话?
风溯:感谢恶灵表姐的采访,感谢i春秋提供一次展现自我的机会,希望在今后能够建立更加深度的合作,同时也祝愿i春秋在新的一年越来越好。
这里我建议新、老白帽朋友们都来加入【春秋云测】平台,众测项目多,不仅可以积累经验,提高实战技能,还能赚取丰厚奖金,结识更多技术大牛,是非常靠谱的众测平台!
(春秋云测会不定期上线测试项目,只有完成注册才能随时接收项目动态)
5、Ta对新伙伴的真诚建议
恶灵:对新入门的小伙伴有哪些忠告?
风溯:有两点建议吧:一是细心,二是坚持。其实在漏洞挖掘的过程中是很枯燥又无聊的,这就要看你是否可以沉得住气。
有次挖洞,差不多一周时间颗粒无收,这时我就在想,可能需要去补充新知识了。而不是陷入自我怀疑,我是不是不适合走这条路?我是不是再也挖不到漏洞了?这家厂商做的这么大,怎么可能有漏洞?
请多肯定三连,而不是否认三连。没有绝对完美的系统、程序,任何存在的事物必然会有一定缺陷。如果当时我就放弃的话,也不会有后来的成绩。
最后,希望多和前辈们交流学习一些思路,这样可以借鉴他们的经验,再化为自己强有力的技能。学习、思考、坚持、细心、自信是在这条路越走越顺的捷径。
本期白帽采访就结束啦
更多大佬成长故事
请继续关注i春秋
相关推荐>>