本期「安全大咖说」的主角是PeritusInfoSec创始人/全球顶尖漏洞猎人Pranav Hivarekar先生。
小哥其人:美国某大学网络安全硕士,PeritusInfoSec创始人,漏洞猎人,从事漏洞猎人行已三年之久,致力于帮助各大公司定位高危漏洞,提高提高安全能力。2015年至2017年连续三年被Facebook列为前25名的白帽黑客。此外,他是BugCrowd和HacherOne两大漏洞赏金平台的热门人物。
我叫他小哥,一是在与他打交道的时候感到他很有亲和力,二是因为他是踩着94年的尾巴出生的,实打实的24岁,但成就已经斐然。2018年12月12日,小哥在FIT 2019互联网安全创新大会的现场「X-Tech技术派对」环节,为我们带来了《Hacking Facebook For Fun And Profit》的议题分享,同与会观众介绍一种简单的方法来检测Facebook Graph API中存在的高危漏洞。
其中最让我印象深刻的是,小哥仅用了三行代码就收获了Facebook的1.5万美元奖金。趁着参会的间隙,我邀请他走进专访间,请他聊了聊对漏洞赏金项目的看法以及如何从零开始成为一个漏洞猎人,接下来让我们通过视频来看一看小哥的故事吧!
不忘初心,方得始终。学会坚持,才能成功。小哥告诉我:
参加漏洞赏金项目的初心来自于他对网络安全的情怀,保护网络空间的芸芸众生是他的理想和动力。然后才是个人的兴趣和漏洞赏金计划带来的丰厚奖励,而后者让他能够进一步投资网络安全行业,于是形成了一个良性的循环。
套路都是虚的,背后的方法论才是真谛。小哥在谈及如何成为一个漏洞猎人时,强调一定要构建自己的方法论,比如针对某一漏洞类型进行深入研究,掌握其原理和来龙去脉,进一步找到适合各类情境下的定位手段。
找到适合自己的方法论可以少走很多弯路,有了方法论,接下去就可以使用统一技术通吃不同的应用。而属性上相似的应用成百上千,因此在一定条件下同时获得数百项漏洞奖励也是有可能的。
开阔眼界,抓住机遇,新手也能成功。全球范围内有很多开展漏洞赏金计划的平台,其中最有名且奖励最为丰厚的非美国公司莫属。中国也有,就像漏洞盒子平台。还有一些新加坡公司,也运营着一些漏洞赏金平台,欧洲也不少。小哥表示它们都具备各自的地域特色,所以想要成为一个真正的漏洞猎人,眼界一定要开阔,要多多关注和了解全球范围内的漏洞赏金计划态势,尽可能多地实践。或许一开始提出的漏洞不被采纳或者赏金颇低,但是坚持下去,不断优化方法论,终有一天能够达到大道至简的程度,或许也能像他一样三行代码就能收获1.5万美元。
漏洞奖励计划成功地提升了大至政府机关小到个人企业的安全水平,成为企业检测信息安全建设的重要途径之一,与直接聘请第三方安全机构进行传统渗透测试相比,漏洞奖励计划的效果往往更好。展望未来,全球范围内的漏洞赏金计划将更加深入地与安全公司合作,继续发扬这种众包工作方式。
*本文作者:Freddy,转载请注明来自FreeBuf.COM