聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Pieter (昵称 HONOKI)来自比利时布鲁塞尔,有着深厚的商业和网络安全北京。他在破解和保护IT系统方面有着十多年的经验,其中超过一半的时间都扮演着安全顾问的角色,交付和网络安全战略、身份和访问管理以及安全测试有关的项目,之后他转身为一名自由职业者。Pieter 罕见地结合了典范的商业知识和熟练的安全策略执行力,而这也是他事业腾飞的原因。猎洞、安全培训和测试之余,他喜欢创作音乐和弹钢琴。HONOKI 还热衷于在博客上撰写主题广泛的文章:Linux、编程、音乐、旅行等等不一而足。除了本文,你也可以继续阅读他的网站,了解他如何从对计算机感兴趣的少年老成的比利时男孩成长为知名网络安全专家。如下是对访谈内容的编译:
Q:你怎么想到起这么一个昵称的?
A:我最开始起这个昵称是因为它听起来很有意思但却没有任何意义。不过最近我发现它好像是某个日本滑雪场的名称。
Q:你如何结缘 hacking?
A:我们那一代在中学时候赶上学习在计算器上编程,引起了我对计算机编程的兴趣。不过我记得我的同学们那会在学校论坛上弹出XSS 警告,而我是在几年后才了解了这些东西。在多年的 Visual Basic、HTML 和 JavaScript 学习生涯中,我的技能开发速度缓慢,直到我学习了如何利用这些技能攻击网站时才有所改观(在21实际初期,这些网站的安全性要比现在差得多)。
在中学毕业时,我的兴趣促使我想追求计算机科学学位,那会我了解了更多关于软件安全和 hacking 的知识,最终帮我在网络安全领域谋得第一份职业,接受了成为渗透测试员的培训。
Q:你hack 的动机是什么?为何会通过漏洞奖励来 hack for good?
A:没有一件事情能像利用一个很酷的漏洞那样让我兴奋!我说的就是这件事本身。一些人通过蹦极获得肾上腺素飙升,而我试图通过查找有意思的 bug 获得同样的快感。
第一个找到生产系统中的漏洞也给我很多的满足感。如果能因为提升了某个组织机构的安全局势获得格外奖金,那么漏洞奖励金就是锦上添花了。
Q:什么样的漏洞奖励计划让人兴奋?
A:通配符范围(如 *.example.com)总是让我兴奋不已。倒不是因为我的侦察能力有多好,而是因为能有更好的机会遇到有意思的应用程序。它说明某组织机构致力于保护所有资产的安全,而我认为这是一种成熟的表现,而且设立了如何处理报告的预期。
我还喜欢包含很多复杂功能的目标,它增加了找到有意思漏洞组合的几率。如果某个程序的创造性很强,那么我就会被迷住。
Q:你选择参加或放弃某个漏洞奖励计划的原因是什么?
A:我喜欢那种快速证实漏洞报告的、漏洞报告能激发影响力讨论或会话的、以及会奖励漏洞分类的漏洞奖励计划。而能让我一直参与的一定是那种鼓励我尽可能继续深挖某个漏洞的计划。
而我不会参与的漏洞奖励计划是几天之后仍无任何响应,或者那些在未经进一步评论或讨论的情况下就降低我所建议的影响力评估的计划。一般情况下,如果我所做的一切立即会遇到 WAF,使得猎洞变得更加复杂,那么我会迅速放弃这类漏洞奖励计划。
Q:你一般会关注几个漏洞奖励计划?为什么?
A:一般来说,如果我之前就曾在某个计划上获得成功,那么我还会参加这个计划,也就是说我一般关注同样的四五个目标,除非我收到新的邀请,我可能会花一点时间来看看有没有什么引起我兴趣的东西。
总体来说,我在注意力管理方面做的不算好,因此我经常会投入很多精力参加某个漏洞奖励计划,或者如果几天或几周都没找到任何东西,那么就会立即转移目标。
Q:你如何根据漏洞奖励计划,排列自己的猎洞优先级?
A:如果某个漏洞奖励计划有着清晰详细的奖励金明细,那么它也提示了我们应该查找什么类型的漏洞。如果没有,我一般会根据应用程序特征凭直觉行事,或者从经验最丰富的漏洞类型入手。
Q:你如何了解最新的漏洞趋势?
A:阅读新闻和博客文章是一段很长的路。我尝试每周花几个小时来了解一些新的研究和有意思的 write-up。我认为必读资源包括 PortSwiggerResearch 和 HackerOnehacktivity 的推送。
Q:你希望企业在设立漏洞奖励计划之前应该了解的东西是什么?
A:准备好易于访问的应用程序。如果在地理位置方面存在限制,那么不要期待黑客会花数小时的时间绕过这些。之前我受邀参加需要通过 US SSN 注册的漏洞奖励计划,或“该网站的所有人已禁止你的IP地址所在国家或地区访问该网站”的信息。同样,如果我需要登录凭据,那么不要等到15天才提供。我发现自己可能不是世界上最有耐心的人,但我认为这些情况会拦住很多黑客的脚本,而不只是我。
Q:你如何看待未来5到10年漏洞奖励领域的发展?
A:从过去五年发生的变化来看,我认为它会继续发展而且将会吸引世界各地的下一代人才验证自己的技能水平。如果未来当前不欢迎黑客帮忙的行业的态度发生改变,那我也不会感到惊讶。
我希望会看到漏洞奖励计划更多帮助无力支付奖励金但仍然能从负责任的漏洞报告中受益的组织机构。
Q:你如何看待在黑客平台上进行协作的未来?
A:我的最佳协作体验是在实时的黑客活动过程,每个人都在持续分享信息并因为互相学习而得到提到。维持或重建实时活动以外的那种分享感受会特别棒。目前我只在鼓励笔记共享和评论的工具和平台方面看到这种情况,而目前这种共享仅限于一些自建的协作空间中。
Q:你的导师或偶像是谁?
A:我非常感谢原来的比利时团队 @arneswinnen 和 @intidc,他们教会我很多。他们的hacking 方式和我不同,一直激励着我不断尝试并以不同的视角查看问题。
Q:哪些hacking 教育方面的资源是目前尚不存在但你希望存在的?
A:这个很难说。现在的资源都很棒,我真的想不到缺啥。
Q:你对下一代黑客的建议是什么?
A:耐心点,坚持住。
推荐阅读
原文链接
https://www.hackerone.com/blog/hacker-spotlight-interview-honoki
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~