人物介绍
Douglas Day(@the_arch_angel),2013年毕业于俄勒冈州立大学计算机系,先后入职JIVE、OPAL、New Relic等公司从事安全工作,现为Elastic高级安全工程师兼独立安全顾问,Web安全专家,熟悉身份验证绕过和权限提升机制,加密解密研究者。目前,Douglas Day在HackerOne平台的有效提交漏洞为145个,名列第69名。
观看视频
采访实录
“你当时是如何接触到安全技术的?”
这大概要说到,当时我在一家运营有漏洞众测项目的公司工作,我的部份日常工作就是负责分类处理白帽提交进来的漏洞报告,在干了几个月后,我从中也收获了一些心得体会,我就想着其实我也可以发现并提交漏洞啊。
“你以什么方式保持挖洞动力?”
好多公司都在持续运转,且会开设新的漏洞众测项目,所以从这个角度来说,可以发现的漏洞都会是不同的,至少我认为从中可以发现一些与众不同的漏洞类型。
“你认为实时黑客比赛对技能有所提高吗?”
实时黑客比赛确实对我有了非常大的提高,因为这种现场比赛需要讲究一些团队配合和协调参与,所以这种团队测试活动,有时真的需要烧脑的临场发挥和多方的互相帮助配合。
“你的漏洞测试目标是什么?”
希望今年能发现一个RCE漏洞,也即远程代码执行漏洞,我差不多快有一年半的时间没发现过RCE漏洞了,我想是时候该发现了。RCE漏洞可以说是漏洞众测中的极品漏洞,在一些安全新闻报道中也时常可见,它们非常受欢迎,且赏金价码非常之高,但具有一定的发现难度。因为我好久都没有发现过RCE漏洞了,所以这对我来说极具神秘感但又需细致耐心。
“你是怎么找到新工作的?”
其实,我入职现在的公司,原因在于当时我参与了一个特殊的漏洞众测项目,并成为了该众测项目的第一名,当时项目里的白帽朋友和该项目的HackerOne平台主管就联名向现在的公司推荐了我,在此,我得感谢HackerOne平台,能让我有展示机会并找到新工作。
“用漏洞赏金购买过什么好物?”
今年刚好用漏洞赏金买了一套房,非常非常感谢漏洞赏金,前后我差不多用了一年时间,不断挖洞不断存钱,总算实现了买房梦想,这对我来说是非常有成就感的事。
“第一次受邀参与实时测试比赛是什么感受?”
我第一次收到实时测试比赛的邀请时是在健身房里,恰巧那天过得相当糟糕,我选择在健身房里运动发泄,之后我立刻就精神焕发了。当我看到手机上的邮件提醒之后,顿时充满力量,马上完成了剩下的力量练习,可以说立马就情绪高涨了。另外我认为参与实时比赛,是我漏洞众测的一个里程碑,至少它让我从业余爱好发现了自己真正能做的事情,也让我的社交接触面和职场生涯有了发展和起色。
“好的众测团队需要具备什么?”
好的漏洞众测团队,尤其是实时测试比赛中的众测团队,需要具备的一个关键因素是:需要大家积极沟通,如通过Google Hangouts、Skype或Slack等方式及时反馈交流,当然这种异步测试方式还不够,有时还需要大家坐到一起,对某些难点问题或目标应用功能不断讨论斟酌,这样才能让团队脱颖而出。
“对新手白帽有什么建议?”
我能想到的最好建议就是,可以先从一些小的不活跃的众测项目练手,尝试去找这些很少人关注且相对冷门的众测项目,因为其新推出的功能应用或是代码更新,可能还没人测试分析过,你就可以从中入手尽力去发现,慢慢从第一笔赏金开始累积声誉积分;如果获得内部测试邀请,就要抓住机会,深入研究认真对待,因为一些内部测试项目相对特别且竞争面较小。
“有值得感谢的人吗?”
必须要感谢的是我的妻子和女儿,是他们的支持让我有耐心废寝忘食进行漏洞测试,尤其是在比赛之前特别特别耗费时间,但是我的妻子和女儿,非常对我有信心,而且总是不忘向别人吹嘘我。我妻子是一名高中老师,她有时在教授课程中,会拿我的例子,去给她的那些对未来职业迷茫的高中生作为榜样和启发,有一些学生向她倾诉,希望以后从事安全行业,然后我妻子就会告诉他们我的经历,分享我在旧金山和拉斯维加斯从事的工作,所以看到她用我的例子,去鼓励去激发年轻一代投身安全行业,让我非常具有价值认同感。
*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!