大家好,我是风溯,第三届百度大学生网络安全技能大赛个人第一

白帽江湖人才辈出,传奇人物不胜枚举,这里只用实力说话,也许你没见过大佬真容,但ta的“传说”或许早有耳闻~

Xrayteam安全团队的xxxeyJ:“挖洞只是展现个人能力的一种形式,短期内的确能产生一定收益,但不要让它成为体现你个人价值的唯一标准。”

The loner安全团队的月神:“白帽子都感受过挖洞的孤独,没人分享喜悦,也没人倾听悲伤。虽然团队名叫孤独者,但是我们希望把每个白帽子凝聚在一起,从此不在孤独!”

渊龙Sec安全团队:“为国之安全而奋斗,为信息安全而发声。技术是枯燥乏味的,如果你决定进入网安行业,请一直保持热爱!”

今天我们又探寻了1位神秘白帽

Ta就是

大家好,我是风溯,第三届百度大学生网络安全技能大赛个人第一

 

大家好,我是风溯,第三届百度大学生网络安全技能大赛个人第一

 

大家好,我是风溯,Day1安全团队成员,擅长挖洞,也因此获得一些小小的成绩。

曾获荣誉

2021年BSRC年榜第二

第三届百度大学生网络安全技能大赛个人第一

感谢恶灵表姐的采访邀请,这次主要来分享自己这些年挖洞的一些过往经历和心得感悟,对漏洞挖掘感兴趣的小伙伴欢迎随时交流学习。

1、认识风溯

恶灵:感谢师傅参加本期采访,先给大家打个招呼吧~

风溯:大家好,我是风溯,Day1安全团队成员,目前是一名在校大学生,平时喜欢打打游戏,唱唱歌,也喜欢和朋友一起出去看风景,爬爬山。

恶灵:挖洞之余还有其他的爱好吗?

风溯:也喜欢搞搞开发,用python写一些自动化小工具。

2、如何走上安全之路

恶灵:师傅是在怎样的机遇下接触的安全呢?

风溯:源于一次机缘巧合吧,偶然看到学弟在看c primer plus这本书,当时觉得很酷,脑海里联想到了黑客,虽然看不懂但是激发了小时候藏在心里的想法(满屏的黑客代码场景),然后开始各种百度如何当黑客,到后来也慢慢了解到Web安全,开启了白帽子之路。

恶灵:师傅有擅长或喜欢挖的漏洞类型吗?

风溯:我个人比较喜欢挖逻辑漏洞,类似越权漏洞,支付逻辑漏洞等等。

3、难忘的挖洞经历

恶灵:给大伙分享一次让你印象深刻的挖洞经历吧!

风溯:印象最深刻的应该是我SRC挖洞生涯的第一个高危,子域名接管漏洞。这个漏洞是我偶然看到一篇文章在讲这个,印象中有看到类似场景,就去尝试,结果就真的挖到了。

其实很多次的成功都是昨天刚学到的一个知识点,今天予以实践,就有收获,也可能是我运气比较好吧,哈哈。所以也建议大家有空就多学习新知识,说不定哪天就学以致用了。

4、Ta与i春秋

恶灵:对i春秋有哪些想说的话?

风溯:感谢恶灵表姐的采访,感谢i春秋提供一次展现自我的机会,希望在今后能够建立更加深度的合作,同时也祝愿i春秋在新的一年越来越好。

这里我建议新、老白帽朋友们都来加入【春秋云测】平台,众测项目多,不仅可以积累经验,提高实战技能,还能赚取丰厚奖金,结识更多技术大牛,是非常靠谱的众测平台!

(春秋云测会不定期上线测试项目,只有完成注册才能随时接收项目动态)

5、Ta对新伙伴的真诚建议

恶灵:对新入门的小伙伴有哪些忠告?

风溯:有两点建议吧:一是细心,二是坚持。其实在漏洞挖掘的过程中是很枯燥又无聊的,这就要看你是否可以沉得住气。

有次挖洞,差不多一周时间颗粒无收,这时我就在想,可能需要去补充新知识了。而不是陷入自我怀疑,我是不是不适合走这条路?我是不是再也挖不到漏洞了?这家厂商做的这么大,怎么可能有漏洞?

请多肯定三连,而不是否认三连。没有绝对完美的系统、程序,任何存在的事物必然会有一定缺陷。如果当时我就放弃的话,也不会有后来的成绩。

最后,希望多和前辈们交流学习一些思路,这样可以借鉴他们的经验,再化为自己强有力的技能。学习、思考、坚持、细心、自信是在这条路越走越顺的捷径。

本期白帽采访就结束啦

更多大佬成长故事

请继续关注i春秋

相关推荐>>

大家好,我是菜菜子,Can’t RCE安全团队队长

白帽专访丨大家好,我们是渊龙Sec安全团队

白帽专访丨月神:我的The loner安全团队

大家好,我是谢公子,来自深信服—深蓝攻防实验室

大家好,我是腹黑,白帽100安全团队负责人

 

posted @ 2022-01-22 17:48  i春秋  阅读(357)  评论(0编辑  收藏  举报