猎洞如解谜,乐无穷

最新推荐文章于 2024-05-05 11:25:09 发布
最新推荐文章于 2024-05-05 11:25:09 发布
阅读量180 收藏
点赞数
文章标签: 游戏 人工智能 区块链 编程语言 java
原文链接:https://codesafe.qianxin.com
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

DawnIsabel (@dki) 是一名令人鼓舞的iOS hacking 专家。她恰好是那种能发现周遭谜题并从解谜过程中获得快乐的人。她说,将几个看似无关的漏洞组合,拨开重重迷雾终于看见解决方案发出的光辉时,感到无比满足。闲暇之余,她喜欢编织、缝制、哼唱 Hamilton,并和孩子们一起玩最爱的棋盘游戏:Ticket to RideWingspanAzul

Q:怎么想到会起这样一个昵称呢?

A我在这方面没啥想象力,所以就用了姓名的三个首字母。

Q:怎么发现 hacking 这事儿的?

A大学时我有一个非常喜欢的部门邮箱账户,但在度假时被黑了。我很沮丧,因为原以为自己已经做了所有该做的事儿确保账户的安全。之后我决定搞清楚账户到底是怎么被黑的,以避免下次再被黑。最开始我是一名开发工程师,我尝试搞清楚用什么办法可以黑掉我自己构建的东西。最终我被默认为“安全人”,因为当时(二零零几年)应用安全还不是大家关注的焦点。当我了解到企业中整个团队都专注于进攻性安全时,我知道那就是我想去的地方!

Q:你hack的动力是什么?为什么会想到通过漏洞奖励计划hack for good

A我一直很喜欢解谜题和调查工作。Hacking 就是一个大谜题——你知道自己想要达到的目标当时不知道应该采取什么措施。将看似无关的漏洞组合起来造成严重影响并达成目标让我感受到巨大的满足感!向利益相关者演示我如何 exploit 并告诉他们如何修复可能是最有成就感的地方。解决了别人的难题,知道自己为一些人连点成线,让他们成为更强大的防御者,是一种非常棒的感觉。

Q:什么样的漏洞奖励计划令人兴奋?

A成果和自己有关联的漏洞奖励计划最让我激动。当我已经在用某款应用程序并对功能和用户威胁模型有深入了解时,我能更好地 exploit。

Q:你会选择或放弃哪些漏洞奖励计划?

A我始终认为漏洞奖励计划的积极活跃的参与会带来很多变化。当我感到自己和计划之间是合作伙伴关系,合力保护资产安全时,让人动力倍增。

Q:你一次会关注几个漏洞奖励计划?为什么?

A我一次尝试关注一个计划,主要是因为我时间有限而且不想有太大压力。即使是在一个漏洞奖励计划下,我也尽力选择一个焦点,而不是一次关注所有。

Q:你如何根据漏洞奖励计划决定先查找哪种漏洞类型?

A我通常会选择想要了解或实践exploit的漏洞,这样即使我没有发现任何东西,也仍然学到了东西,增长了技能点。

Q:你如何获取最新漏洞趋势?

A我通过推特获取安全相关资讯。跟进会议讨论也是发现最新技术和漏洞的好办法。

Q:有哪些是你希望公司在设立漏洞奖励计划前就想清楚的?

A“设立并忘记”式的漏洞奖励计划要不得。有效的漏洞奖励计划需要时间和精力的投入,从现实角度预测精力投入并确保你有足够的资源可以投入计划。

Q:你如何看待漏洞奖励计划在未来510年的发展?

A我认为我们将会看到更多的长期的漏洞奖励团队努力,这样就会出现很多工具,支持分布式漏洞奖励计划。

Q:你如何看到漏洞平台成员间协作的未来?

A随着涌现出更多的团队,黑客平台内部很可能会产生基于团队的指标需求。这些指标一旦发现,那么出现某些漏洞奖励计划希望将团队作为整体参加非公开计划的情况就不令人惊讶了。可能会有由高质量黑客组成的组织出现,他们具有已经证实的和他人协作的记录,那么将会变得十分强大。

Q:你在社区的导师或偶像是谁?

A最让我感恩的是@randomdeduction,她一直都在鼓励着我支持着我。我还常常受到 @InsiderPhD 的鼓舞,他创建了如此多很有价值的内容,在相对短的时间里支持着很多人!同时非常感谢 Syndicate 公司的团队伙伴 @c0rv4x 和 @adxchapman,和他们在一起工作让我受益良多。

Q:你希望但目前尚不存在的教育性的 hacking 资源有哪些?

A我感兴趣的领域是 iOS 应用程序hacking,我希望能够降低黑客和研究员新手的入行门槛。在没有物理设备和Mac的前提下学习 iOS 应用程序安全仍然很困难,对于很多人来说这是一个重大的障碍因素。

Q:你对下一代黑客有哪些建议?

A从和你截然相反的人身上学习。攻击活动通常利用的是我们的盲点——也就是我们看不到的地方;我们永远不会怀疑的骗术。从具有完全不同的威胁模型的其他人的视角看问题,会让你成为更好的黑客和防御者。

 

推荐阅读

我发现了3572个漏洞 今天又是崭新的一天

我是一名自由职业白帽黑客

原文链接

https://www.hackerone.com/blog/hacker-spotlight-interview-dki

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
追风猎洞只能喝西北风吗?
smellycat000的专栏
12-29 151
聚焦源代码安全,网罗国内外最新资讯!Pedro Worcel(即 @benteveo)在 IT 行业已经摸爬滚打了十多年。他曾是 Java、PHP、Python 和 C++ 开发员,也...
4年猎洞赚百万美金:谈谈我的入门和成功经验
smellycat000的专栏
11-19 770
本文作者Ozgur Alp 是一名土耳其的独立漏洞猎人兼攻击安全顾问。他在四年的时间里通过挖掘漏洞赢得100万美元的奖励,以下是他对自己个人经验的总结,奇安信代码卫士团队编译如下,希望能给...
猎洞20年老兵的经验之谈
smellycat000的专栏
06-01 130
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士Hacking 老兵 @ralamosm 已猎洞20多年。他是HackerOne 平台上的“最有价值黑客 (MVH)”,也是阿根廷...
漏洞奖励计划的五大成功要素问答实录
smellycat000的专栏
09-27 553
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队媒体网站Threatpost邀请漏洞奖励社区的四名意见领袖参加了一场题为《运行成功的漏洞奖励计划的五大要素》的网络研讨会...
电子音-小提琴曲帕格尼尼《无穷动》MuseScore文件
02-13
用MuseScore制作的小提琴曲帕格尼尼《无穷动》,按照原始谱输入音符和各种演奏记号(不含指法),可用于电子音制作软件学习和音相关算法研究。
Lewy方程的无穷可微解
02-06
Lewy方程的无穷可微解,吴小庆,,H.Lewy在1957年给出了一个无解方程的反例,他的例子使人们大吃一惊。而且Harold Jacobowitz 找到了大量的相同性质的例子。Lewy方程不可解的�
CampusLife:序闲居何无穷
03-18
校园生活 序闲居何无穷
单机无穷大系统系统稳定性分析模型
05-07
可在matlab7.0中打开,是基于Matlab7.0的simulink仿真程序 可用于各类短路故障分析,研究电力系统暂态过程
剧情游戏如何制作?
inyiu的博客
04-29 525
首先,你需要有一个扎实的故事框架,这个框架可以是一个详细的剧本或者是一个简要的大纲。在设计故事时,考虑到玩家的选择和互动是非常重要的,因为这些选择会影响到游戏的走向和结局。根据你的故事和设定,你可以选择不同的游戏类型,比如冒险、角色扮演、解谜等等。不断迭代和改进是制作过程中的关键,确保最终呈现给玩家的是一个令人难忘的游戏体验。一个吸引人的视觉效果和音能够增强玩家的游戏体验,使他们更容易沉浸在游戏世界中。确保游戏的流程顺畅,没有bug,并且反复测试以确保玩家的选择能够正确地影响游戏进程和结局。
在UI界面中播放视频_unity基础开发教程
成长之路,任重道远,期待你的关注!
05-01 629
之前我写过一篇在场景中播放视频的文章,但是在开发中有时候也会在UI的界面中播放视频,这期我们做一下在UI的界面中播放视频。操作步骤比较简单,到这里就完成了,如果有问题的话可以在评论区留言,下期见,拜拜!
使用QT完成如图的游戏登录界面 使用信号和槽完成密文明文密码转换,重置账号和密码,登录校验 详细代码在主页下载
m0_67469586的博客
04-29 918
this->accline->setPlaceholderText("请输入账号...");this->pwdswitchbtn=new QPushButton("密文",this);//点击"密文"按钮时,按钮本身的文字变为“明文”,QLineEdit 中的内容也变为明文;this->pwdline->setPlaceholderText("请输入密码");this->pwdswitchbtn->setText("明文");this->pwdswitchbtn->setText("密文");
[基础] Unity Shader:顶点着色器(vert)函数
z1234234234的博客
05-02 526
顶点着色器(Vertex Shader)是图形渲染的第一个阶段,它的输入来自于CPU。顶点着色器的处理单位是顶点,CPU输入进来的每个顶点都会调用一次顶点着色器函数,也就是我们在Shader代码里所定义的vert函数。本篇我们将会通过顶点的颜色变换、顶点位移、顶点扭曲来介绍顶点着色器(vert)函数。
GDPU unity游戏开发 碰撞器与触发器
嫌人闲事
05-03 875
砰砰叫,谁动了她的奶酪让你的小鹿乱撞了。基于此,亦即碰撞与触发的过程。
如何确定Unity/VNXe存储的主控制器(Primary SP)
存储服务专家
05-05 385
对于EMC Unity存储系统(VNXe)存储系统,确定primary SP,就是主控制器是很多故障诊断工作的第一步,本文详细介绍了如何确定primary SP的几种方法。
溪谷软件:游戏联运有多简单?
xigukeji0012的博客
04-29 373
游戏联运,即游戏联合运营,是一种游戏运营模式,涉及到多个平台或公司共同推广和运营同一款游戏。数据分析与运营支持:联运平台通常提供强大的数据分析工具,帮助开发者更好地了解玩家的行为和喜好,从而优化游戏的运营策略。此外,平台还可能提供一系列的运营支持,如客服、支付等,进一步简化了游戏的运营流程。风险共担与利益共享:通过联运模式,开发者可以与联运平台共同承担游戏运营的风险,并共享游戏的收益。选择合适的联运伙伴:不同的联运平台在资源、能力、信誉等方面可能存在差异,开发者需要仔细评估并选择适合自己的联运伙伴。
Unity初级---初识生命周期
最新发布
WADE
05-05 233
当脚本启用和禁用时触发,可执行多次,触发的前提是脚本挂载的对象在激活的状态下,也就是。:开始函数,执行一次,一般用于初始化,当脚本挂载的对象被激活,同时脚本被启用时执行。:唤醒函数,最先执行的函数,只执行一次,当脚本文件挂载的对象被激活时调用。
中建三局,宁德时代,科锐国际(计算机类),途游游戏,得物,蓝禾,顺丰,康冠科技24春招内推
weixin_53585422的博客
04-28 797
【专业要求】铁道工程、土木工程、城市地下空间工程、道路桥梁与渡河工程、交通工程、市政工程、地质工程、勘察技术与工程、水利水电工程、电气工程及其自动化、采矿工程、环境工程等。【一键内推】: https://poizon.jobs.feishu.cn/s/iFk9mrY5。【招聘岗位】研发类、算法与大数据类,设计类,产品类、职能类。【岗位】算法类,软硬件类,供应链类,产品类,商务类,职能类。【岗位】技术类、发行类、美术类、产品类、数据分析类。【岗位】运营类、设计类、研发类,供应链类,职能等。
python判断线性方程组有无解,唯一解还是无穷
04-10
答案: 可以使用numpy库中linalg模块的函数来判断线性方程组有无解、唯一解还是无穷解。具体使用方法可以参考以下代码: import numpy as np # 定义线性方程组的系数矩阵A和常数矩阵b A = np.array([[2, 3], [4, 6]]) b = np.array([5, 10]) # 求解线性方程组 x = np.linalg.solve(A, b) # 判断线性方程组的解 if np.linalg.det(A) == 0: print("无解或有无穷多解") elif A.shape[0] > A.shape[1] and np.linalg.matrix_rank(np.hstack((A, b.reshape((-1, 1))))) < A.shape[1]: print("无解") else: print("唯一解:", x) 注意,这个方法只适用于系数矩阵A的行数等于列数的情况,即方阵,如果系数矩阵A不是方阵,则无解或有无穷多解的情况可能会出现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值