freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【FreeBuf字幕组】HackerOne优秀白帽黑客采访系列:Douglas Day
2020-06-30 13:35:43

人物介绍

Douglas Day(@the_arch_angel),2013年毕业于俄勒冈州立大学计算机系,先后入职JIVE、OPAL、New Relic等公司从事安全工作,现为Elastic高级安全工程师兼独立安全顾问,Web安全专家,熟悉身份验证绕过和权限提升机制,加密解密研究者。目前,Douglas Day在HackerOne平台的有效提交漏洞为145个,名列第69名。

观看视频

采访实录

“你当时是如何接触到安全技术的?”

这大概要说到,当时我在一家运营有漏洞众测项目的公司工作,我的部份日常工作就是负责分类处理白帽提交进来的漏洞报告,在干了几个月后,我从中也收获了一些心得体会,我就想着其实我也可以发现并提交漏洞啊。

“你以什么方式保持挖洞动力?”

好多公司都在持续运转,且会开设新的漏洞众测项目,所以从这个角度来说,可以发现的漏洞都会是不同的,至少我认为从中可以发现一些与众不同的漏洞类型。

“你认为实时黑客比赛对技能有所提高吗?” 

实时黑客比赛确实对我有了非常大的提高,因为这种现场比赛需要讲究一些团队配合和协调参与,所以这种团队测试活动,有时真的需要烧脑的临场发挥和多方的互相帮助配合。

“你的漏洞测试目标是什么?”  

希望今年能发现一个RCE漏洞,也即远程代码执行漏洞,我差不多快有一年半的时间没发现过RCE漏洞了,我想是时候该发现了。RCE漏洞可以说是漏洞众测中的极品漏洞,在一些安全新闻报道中也时常可见,它们非常受欢迎,且赏金价码非常之高,但具有一定的发现难度。因为我好久都没有发现过RCE漏洞了,所以这对我来说极具神秘感但又需细致耐心。

“你是怎么找到新工作的?”   

其实,我入职现在的公司,原因在于当时我参与了一个特殊的漏洞众测项目,并成为了该众测项目的第一名,当时项目里的白帽朋友和该项目的HackerOne平台主管就联名向现在的公司推荐了我,在此,我得感谢HackerOne平台,能让我有展示机会并找到新工作。

“用漏洞赏金购买过什么好物?”    

今年刚好用漏洞赏金买了一套房,非常非常感谢漏洞赏金,前后我差不多用了一年时间,不断挖洞不断存钱,总算实现了买房梦想,这对我来说是非常有成就感的事。

“第一次受邀参与实时测试比赛是什么感受?”    

我第一次收到实时测试比赛的邀请时是在健身房里,恰巧那天过得相当糟糕,我选择在健身房里运动发泄,之后我立刻就精神焕发了。当我看到手机上的邮件提醒之后,顿时充满力量,马上完成了剩下的力量练习,可以说立马就情绪高涨了。另外我认为参与实时比赛,是我漏洞众测的一个里程碑,至少它让我从业余爱好发现了自己真正能做的事情,也让我的社交接触面和职场生涯有了发展和起色。

“好的众测团队需要具备什么?”     

好的漏洞众测团队,尤其是实时测试比赛中的众测团队,需要具备的一个关键因素是:需要大家积极沟通,如通过Google Hangouts、Skype或Slack等方式及时反馈交流,当然这种异步测试方式还不够,有时还需要大家坐到一起,对某些难点问题或目标应用功能不断讨论斟酌,这样才能让团队脱颖而出。

“对新手白帽有什么建议?”    

我能想到的最好建议就是,可以先从一些小的不活跃的众测项目练手,尝试去找这些很少人关注且相对冷门的众测项目,因为其新推出的功能应用或是代码更新,可能还没人测试分析过,你就可以从中入手尽力去发现,慢慢从第一笔赏金开始累积声誉积分;如果获得内部测试邀请,就要抓住机会,深入研究认真对待,因为一些内部测试项目相对特别且竞争面较小。

“有值得感谢的人吗?”     

必须要感谢的是我的妻子和女儿,是他们的支持让我有耐心废寝忘食进行漏洞测试,尤其是在比赛之前特别特别耗费时间,但是我的妻子和女儿,非常对我有信心,而且总是不忘向别人吹嘘我。我妻子是一名高中老师,她有时在教授课程中,会拿我的例子,去给她的那些对未来职业迷茫的高中生作为榜样和启发,有一些学生向她倾诉,希望以后从事安全行业,然后我妻子就会告诉他们我的经历,分享我在旧金山和拉斯维加斯从事的工作,所以看到她用我的例子,去鼓励去激发年轻一代投身安全行业,让我非常具有价值认同感。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

# HackerOne # FreeBuf字幕组 # 白帽黑客采访 # Douglas Day
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者