白帽专访丨大家好,我是王老师,Day1安全团队的创始人

白帽江湖人才辈出,传奇人物不胜枚举,这里只用实力说话,也许你没见过大佬真容,但ta的“传说”或许早有耳闻~

Xrayteam安全团队的xxxeyJ:“挖洞只是展现个人能力的一种形式,短期内的确能产生一定收益,但不要让它成为体现你个人价值的唯一标准。”

The loner安全团队的月神:“白帽子都感受过挖洞的孤独,没人分享喜悦,也没人倾听悲伤。虽然团队名叫孤独者,但是我们希望把每个白帽子凝聚在一起,从此不再孤独!”

渊龙Sec安全团队:“为国之安全而奋斗,为信息安全而发声。技术是枯燥乏味的,如果你决定进入网安行业,请一直保持热爱!”

......

PS:文章篇幅有限,不一一列举了,感兴趣的小伙伴可在文末查看更多精彩故事。

本期人物介绍

白帽专访丨大家好,我是王老师,Day1安全团队的创始人

 

大家好,我是王老师,Day1安全团队的创始人,漏洞盒子S级白帽。除了挖洞,我还有很多爱好,如果咱们志趣相投,欢迎随时找我交流~

S级白帽的背后是无数个努力的日夜

小编:哈喽,王老师,先跟大家打个招呼吧!

王老师:大家好 我是王老师,Day1安全团队的创始人,目前就职于某甲方,主要研究方向是企业安全建设。平时除了挖洞,也喜欢开卡丁车,或者和朋友们一起出去旅游。

白帽专访丨大家好,我是王老师,Day1安全团队的创始人

(王老师卡丁车的战绩)

小编:王老师大学专业也是跟安全相关的吗?

王老师:不是哈,大学期间学的是数学专业,可以说和安全毫不相关,哈哈哈。

小编:很好奇,那您怎么进入安全圈的呢?

王老师:起初是对”黑客”感兴趣,后来了解到“白帽子”群体,被各大SRC排行榜榜单吸引,感觉上榜很cool,于是带着浓厚的兴趣踏上了安全之路。

小编:非科班出身到现在成为S级白帽子,这其中的辛苦可想而知,您是怎样做到的?

王老师:回想那段奋斗的日子确实很难忘。没有团队,没有战友,孤身一人,一天只睡4小时,每天挖到凌晨2点,早上6点起来继续挖,虽然成长的比较慢,但是看着排行榜上一点点增长的分数,名次一点点提高,真的是超级开心。后来渐渐认识了一些厉害的大佬们,大家一起相互交流,这段经历对我来说影响还是挺大的。

从最初的一个站可能挖10分钟就放弃了,再到现在一个站挖了好几天,都能做到天天有输出,拼的不光是技术,还有细心和耐心。

用实力 创造更好的成长空间

小编:是什么原因让您想到去创建一个团队呢?

王老师:创办Day1安全团队的契机是2019年参加i春秋举办的互联网安全城市巡回赛,在颁奖环节时看到上台领奖的安全团队,心生羡慕。我觉得我也可以组建一个团队,并为成员做点什么,而且我始终坚信一个人可以走得很快,一群人才能走得更远,于是在12月下旬正式创建Day1安全团队。

白帽专访丨大家好,我是王老师,Day1安全团队的创始人

 

小编:给我们介绍下Day1安全团队吧。

王老师:Day1是一支专注于网络安全技术研究的团队。团队以渗透测试、红蓝攻防、代码审计、移动安全等为主要研究方向,发展至今已有百余人,成员主要来自各大安全厂商及一线互联网公司的安全从业者,也融合了高校的学生,在不断夯实团队自身安全底蕴的同时,持续吸纳着来自高校和社会的新鲜血液。

核心价值观:It's always day 1 永远保持第一天接触网络安全的热情。

小编:作为团队Leader,在管理过程中遇到过哪些困难或挑战吗?

王老师:从一个人到一群人,起初压力还是蛮大的,也由于缺乏管理经验,导致大家彼此很陌生,影响了团队的交流氛围。不过后面经过了一些调整,现在大家已经很好的融入其中了。

小编:能简单给我们分享您的调整策略嘛?

王老师:其实就是内部制定了一些规则,比如说自愿参加交流分享活动,但是想要参与分享会就必须要带着自己的成果来,不能坐享其成。

其次,知识体系建设,团队内部也做了个wiki,方便大家学习交流。还有就是经常会举办线下团建活动,像之前提到i春秋组织的城市巡回赛,就是一次很好的交流机会,大家可以从线上走到线下,直接面对面交流,还能促进团队协作能力,在此也感谢i春秋平台给我们提供了多次团建机会。

小编:相信这么好的团队氛围一定有好的回馈,能分享下Day1团队战绩吗?

王老师:付出和收获是成正比的,在大家的共同努力下,2021年我们拿下了爱奇艺、网易、微博、智联、有赞、携程等多家SRC的第一名,可谓硕果累累。

好的平台 彼此成就

小编:取得这么多优秀的成绩,一定有很多经验技巧,给大伙分享下挖洞秘籍呗。

王老师:对我个人来说,除了常规漏洞,业务逻辑漏洞挖的更多一些,因为我一直觉得探寻业务系统的逻辑问题,是一件有趣并且很酷的事。挖洞是很考验细心和耐心的,需要深入去研究业务,如果你能做到比产品经理更懂这个产品,你就成功了一大半。当然,除了努力练习外,运气也是加分项,但是不能强求。

小编:那您有没有因为运气挖到过高危漏洞呢?

王老师:第一次挖漏洞的时候,是我至今为止印象最深刻的,那时候技术也不是很好,又是第一次参加众测项目,稀里糊涂的挖了个支付漏洞的严重,真的是激动的一晚上没睡着觉,最后还拿到了3000元的奖励,我觉得那次真是运气助力。

小编:希望这种好运也能发生在小编身上,您在安全圈6年多的时间,有没有遇到过漏洞被忽略的情况,您又是怎么处理的?

王老师:这种情况太普遍了,最狠的一次我在某家SRC提了30多个洞,全部被各种理由忽略了。起初可能理解不了,现在也看开了,忽略就忽略了吧,就当作一次学习练手的机会了,没必要那么计较。

小编:王老师太佛系了,为什么不在争取下呢,毕竟自己也投入了挺多精力的?

王老师:我有过漏洞审核的工作经历,所以我知道漏洞确认是个很繁琐的过程,对于甲方来说,需要评估漏洞危害、利用条件、修复成本以及漏洞预算等方面,导致很多提交的漏洞经常被忽略,可能我们挖了很久,付出了很多精力,最终却颗粒无收,这种情况太常见了。

说到这里,我又想感谢一下i春秋,因为我们团队这两年除了互联网安全城市巡回赛,还一直在参加咱们深度众测,这个项目真的很不错,相对容易并且奖金很多。还有一些联合众测和百度杯也参与其中,希望i春秋以后多举办一些类似这样的活动和项目。不仅让我们的技术得到了提升,在经验积累上也收获颇丰!最重要的是漏洞被忽略这种现象很少发生,运营人员会极力帮我们向甲方争取,为我们提供强有力的保障!

希望在接下来的时间里,可以继续和i春秋一起开拓、探索新的众测项目,彼此成就、共同发展,携手同行!各位白帽师傅如果想要参加众测项目,可以加入【i春秋·春秋云测】,强烈推荐这个靠谱平台!

本期白帽采访就结束啦
 
更多大佬成长故事
 
请继续关注i春秋
 
posted @ 2022-05-11 11:50  i春秋  阅读(849)  评论(0编辑  收藏  举报