人物介绍
Nathaniel Wakelam (@nnwakelam),25岁,来自澳大利亚,也就是大家熟知的Naffy,在一家名为Gravity的安全咨询公司担任首席信息安全官。目前Naffy在HackerOne平台的有效提交漏洞为707个,排名第9。据HackerOne透露,Naffy呆在一个地方不会超过30天,不做漏洞众测的时间里,他会随意地去旅游和参加各种聚会。
Naffy在小学时就发现了自己的第一个漏洞,然后在18岁时成为了专职Bug Bounty Hunter,深厚的技术功底让他此前一直占据HackerOne排行榜的前三位置。在2016年8月《卫报》的一篇采访中有这样的几段描述:
这个21岁的年轻人本月共赚到了21,150美金,他在手机里数出了各笔钱的数目,400、400、300、100、1000、3000、4000”、“他每个月赚到的各笔漏洞赏金起伏不定,但平均一年下来,他可以轻松赚到25万美金,他要么在墨尔本的家里工作,也会带着他的苹果笔记本电脑在咖啡店或附近的酒吧工作。
Naffy透露他非常喜欢渗透测试进入一些大型网络,在采访之前,他就成功因此获得了$3,000美金的漏洞奖励。
Naffy还合伙创立了Hackers Helping Hackers社区,引导有技术能力的年轻人入门安全行业,为他们提供职业咨询和技术指导。
观看视频
采访实录
“当初是如何接触到黑客技术的?”
面对测试目标,我喜欢对其攻击面做一些深入研究,了解具体的内部结构和运行原理,尝试判断其网络架构与实际运行上的不一致性,并分析与其具体对应的Web应用。
“漏洞众测对你的生活方式有什么改变?”
到全球各地参与漏洞众测,对我的生活方式确实有一些改变,其实我一直过的是一种比较漂泊的生活,每年我都会毫无规划地去到15到20个国家左右。所以这其中会接触到很多各种各样的人,其中就有一些和我一样的同行白帽安全人士,这非常好。另外我还从中实现了财务自由,不需要过多地去考虑开支问题,可以做到随意地支配生活,这是我觉得非常棒的。
“你如何保持挖洞动力?”
这就要说到挖洞策略了,我觉得首先要,考虑你花时间做这件事,所要实现的具体目的,因为在这行不管做网络安全还是其它,你总得有个实现意义,这里的漏洞众测,作为白帽来说肯定是多找洞多赚钱,其动力肯定有经济驱动因素,当然其中难免会遇到时间精力的投入和最终经济产出不成正比的情况,但如果做这些事是出于兴趣爱好,源自内心热爱,即使最后可能没得到赏金,但也会从中收获到分析研究的乐趣所在,退一步讲如果你研究不通,也能知道自己的薄弱环节和欠缺所在,就要赶紧回头认真学习,认真打好知识基础,从根本上弥补不足,扎实做好挖洞的知识技能储备,因为如果后续你再次面对类似的测试目标时,你就能做到心中有数,可能会从中发现一些相关漏洞,这里我建议大家花时间,多上手练习练习hacker101,它是hackerone运行的一个CTF测试平台,然后多多阅读一些安全书籍,如《黑客攻防技术宝典-Web实战篇》、《Web之困》等等,这是我个人建议。
“你觉得HackerOne的举办赛事活动有何变化?”
从我参加的一些HackerOne赛事活动来看,比较有印象的是参加DefCon那次,让我能有机会认识很多同行才俊,和大家互相交流探讨,共同测试同一家公司网站,这种感觉让我难以忘怀。总之就是能让大家有那么一个平台,相互切磋,共同进步,这非常棒,直到现在我也非常乐意参加这种活动赛事,因为这在有趣之余既能赚钱也能认识志同道合的朋友,还能发现一些非常酷的漏洞,你可以想像一下,10多个人坐在同一个房间,大家都毫无准备地接受前所未知的测试挑战,只是在一周前通知你来参加,大家都是公平的,这与其它赛事与众不同,如果是20岁的年轻人来参加的话就更有意思了。
“对新手白帽有什么建议?”
在论坛里我也看到很多关于如何成为一个更好白帽的讨论,以及一些如何实现目标的探讨,其实hackerone平台本身,在这些方面都为大家提供了很多可用资源,但总之如果你真的想从事所擅长的网络安全或其它方面的研究,这多少和每个人具体的,能力或其它因素相关,但是如果你真的想去发现一些高危漏洞,想成为各种邀请赛中的顶尖高手,说到底这都是需要你在所擅长领域投入时间精力的,总之就是一份投入一份收获。
*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!
* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM