经验-帽子的秘密-零开始漏洞自学路线

经验-帽子的秘密-零开始漏洞自学路线

双十一安全保卫战14家SRC安全高管

为白帽司令点赞！

“第一个漏洞拿了200块，挖了个通用的sql注入，但我当时挺高兴的，现在肯定不挖这些了”（钱太少）

笑着谈起了刚入行时候挖到的第一个漏洞，出于好奇，我追问了一下。“这个双十一你挖了多少？”

“在ASRC拿到三十几万吧。”

和很多白帽子一样，也并非信安专业出身，学软件开发的他，曾经是一名准程序员，当问到为什么想要去做一名白帽子的时候，回答： “写程序我太菜了”。

2016年正是网络安全行业风云四起的一年，“乌云事件”和“世纪某缘事件”之后，有些白帽子选择了去各大SRC授权测试，也有些白帽子离开了这个行业做了一名普通的开发人员。

16年初，刚刚大学毕业，和很多萌新程序员一样签了一家公司敲代码，日子平平淡淡。和很多富有戏剧性的白帽子诞生剧本不一样， 既不是一个改邪归正完美逆袭的熊孩子，也不是一个心系天下致力于互联网世界“天下无贼”的技术鬼才。

按他的话说就是“感觉挺好玩的，就接触了一下，当时也没打算当饭吃”

“我上班的时候才挖到的第一个漏洞，刚入门的时候特别容易找不到方向，感谢当时有朋友带我入行，让我少走了很多很多弯路。我们现在也是亦师亦友的伙伴，和漏洞奖金比，这些东西都是无价的。”

当时是整个技术生涯压力最大的时期，据他说也是个人进步最快的那么一个阶段，庞大的web安全体系让人无论朝着哪个方向走，接触的都是新鲜的东西，成长飞快。也有很多很多人在这个阶段没找到属于自己的方向，陷入迷茫，浅尝辄止放弃了白帽子这条路。

事实上，从2016年第一个200块开始，仅仅用了一年时间，就已经刷到了某SRC平台排行榜第一，当然17年入驻ASRC后，更是拿到了单场活动漏洞过百的辉煌战绩。现在已经是一个月入几十万的大佬了。

没错，时间单位是月。

然而技术实力并不是决定成果的唯一因素，挖洞这件事还带着那么一点点机遇成本和运气，不论是活动冲榜还是平时自我提升，总有那么一段时间毫无头绪没有进展，即所谓人人都经历过的“瓶颈期”。

提到瓶颈期，倒显得有些波澜不惊。

瓶颈期就转移一下注意力，研究点别的，拓展一下自己的知识面

挖一挖自己平时没接触过的领域，挺好玩儿的，也没那么乏味，我还研究过一段时间的车联网，感觉很有趣。毕竟抛开技术层面之外，挖洞也是一个运气活儿，挖不到了，我就不挖了嘛！没必要为难自己

面对瓶颈期

入门萌新：不要和我提瓶颈期，我每天都是瓶颈期，大佬带我！

普通白帽：我太菜了，想放弃，算了还是再看一会儿poc吧

高阶白帽：没关系，再坚持一下，我追求的是技术的超越，胜利就在前方

：我很佛，我从不硬钢。

有人挖洞是为了荣誉，有人挖洞是为了名气，有人挖洞是为了内心的正义感，有人是为了盗QQ，w师傅说，我只有缺钱了才挖挖洞，做个俗人挺好，毕竟贷款得还嘛（小声）

但是当谈到为什么常驻在ASRC，w又说“我最讨厌以前遇到的一些审核反馈的“内部已知”知道了你不修？但我在ASRC没见到过这种反馈，可能这也是我挖了两年多都没放弃的原因之一吧。”

说到底，除了漏洞奖金之外，厂商的那一句 “感谢反馈，已安排修复”分量十足。

2018年在ASRC双十一活动里拿到了师长军衔，然而他对这个只有11人才能获得的军衔成绩并不满意，心里暗戳戳的给自己定下了更高的目标。像所有理工出身的男孩子一样，他们对技术成就较真又执拗。

今年七月份，阿里上线了【王牌A计划】，其中黑桃A白帽严重高危漏洞享有翻倍权益，优质项目还享有优先测试权。

ASRC的基础奖励本就很高，好在出身软件开发，他有还不错的代码功底，这于对来说简直是天时地利，自然不会放过这个机会，果断刷洞上车。

（王牌A计划2.0权益）

（ASRC基础奖励提高）

成为黑桃A也就意味着成为了ASRC的顶尖白帽，却不满止步于此，决定在今年冲击18年没有拿到的双十一保卫战最高军衔—司令。

那你觉得代码知识对挖洞的帮助和影响大么？

“非常大，薄弱的代码功底会限制一个白帽子的天花板，纵向发展就很难，所以扎实的基本功非常非常重要，只会用现成的工具很难成为一个厉害的白帽子。研究脚本、研究编程、研究框架、研究web、研究协议，再研究研究SRC的活动和奖励机制，反正学就完事儿了哈哈哈。”

此时的已经在ASRC取得了相当不错的成绩，然而他始终没有停止学新东西，虽然挖洞对他而言只是个副业而已。

“今年双十一挖到了多少奖金”

“30几万吧”

（用漏洞奖金给自己买的小礼物↑）

说的云淡风轻，实际上这场双十一活动中，挖到了近100个漏洞，其中20个严重41个高危。名副其实的拿到了只有一人的“司令”军衔。喜提大奔。并获得双十一高管们的集体感谢。

（播放视频）

也毫不吝啬的分享了自己的“刷钱”秘籍：

1. ASRC的业务面非常广，挖洞难度其实不大，最主要的是要熟悉框架，沉稳心细，不能急

2. 挖到一个漏洞之后，看一下相同框架，有可能会发现相同的漏洞，有惊喜

3. 但是一定一定要注意授权，保护自己。SRC都有合法授权，安全挖洞，不要做违法的事情。这也是我最想对其他学弟学妹说的话”

“还有阿里的那个王牌A计划，”有点小骄傲地说，“我一开始就是黑桃A了”

为什么一定要成为黑桃A？

“给钱多，奖金。”

看我似乎没有什么概念，算了一笔账：

“比如我提交了一个严重5000块，恰好赶上双倍活动，严重双倍后变成1万块；同时我是黑桃A，这个严重最终就是2万块到账了。当然，还会定期给一些礼物，我挺喜欢他们送的那个天猫精灵的23333”

然而师傅也确实得偿所愿，挖了这么多活动拿到了各种各样的名誉，当问到那一场活动最让自己印象深刻，却不是他挖到了30几万喜提大奔的2019双十一活动，而是ASRC的母亲节活动。

这个活动在白帽子取得一定的积分排名后，妈妈能获得一笔现金奖励+光荣母亲证书。

这个活动让特别关注，以前自己的成绩只属于自己，现在可以亲手把荣誉送给亲人，在白帽子心里是又温暖又酷的一件事。经过努力跨过难关，最终也如他所愿了。

“我妈妈特别开心的发了一条朋友圈” 笑着说。

你看，挖洞不仅仅能在SRC平台换面包，甚至能买房买车，更甚，当你想要表达爱又羞于开口，他们也能替你做了。

人生最幸福的事之一莫过于能找到一个自己喜欢的目标并一路前行，做到了，当问到以后有什么打算的时候。说自己打算闭关一段时间，需要让自己充充电，自我提升一下，为自己量身打造一套工具用来挖洞。

而抛开技术谈未来，他考虑的事情又和一个普普通通的25岁年轻人一模一样：

“五年之后我30岁了，30而立，不知道那时候贷款还完没有”

真实又接地气儿，就像你身边擦肩而过的路人。黑客本身就带有一些反叛精神，很多白帽子身上也有这样的特质，他们聪明热情，天马行空，从来不爱走正常路线，在互联网的世界里行侠仗义，与黑灰产对抗，也与自己对抗。

其实在身上又多了几分从容平和，有实力，有目标，有方向，自信又爱自黑，在技术的世界里择善而从。选择了自己认定的路便义无反顾。

在这场没有硝烟的互联网战争中，这些人都是英雄。

也一样，是千千万万白帽子的缩影，况且他们还都这样年轻。

特别鸣谢墙

ID：

ID：

ID：

更

多

精

彩

~

网络安全学习，我们一起交流

~