聚焦源代码安全,网罗国内外最新资讯!
Pedro Worcel(即 @benteveo)在 IT 行业已经摸爬滚打了十多年。他曾是 Java、PHP、Python 和 C++ 开发员,也曾开发过多款软件解决方案,最为有名的要数开源工具 droopescan。在任职安全顾问期间,Pedro 为多家大型私企和政府机构开展渗透测试,并最终创立了自己的公司,和妻子一同经营。在2014年加入 HackerOne 以来,@benteveo 已发现很多高危或严重漏洞,其中不乏远程代码执行、服务器端请求伪造、XSS 和 XML 实体注入等。他被 Verizon Media 评为年度黑客,被另外一家非公开计划评为顶级黑客,也获得参加现场 hacking 活动的邀约。
关注并追踪猎洞风向是猎洞捷径吗?
如下是 HackerOne 平台的访谈录,希望能给读者带来一些关于猎洞方面的启发。
(南美洲一种名为 "benteveo" 的鸟)
这个昵称有什么故事吗?
Benteveo 是南美洲非常常见的一种鸟。妻子 Gabi 和我选择将它作为公司名称是因为它对我们弥足珍贵,而且我们认为这种鸟的很多行为以及以 bug 为食的习惯和我们所做的很搭。
您是如何走上 hacking 这条路的?
我一生都痴迷于 hacking。记得小时候我就通过计算机技能获得在线游戏的更多分或者得到 DSL 调制解调器的密码访问权限,不过由于在学校成绩差就没有继续捣鼓了。在18岁时我对 hacking 有了更严肃认真的态度,开始做一些挑战活动。这些都促成我认为自己必须学习编程的想法,同时让我凭借这些技能获得第一份编程工作,继而获得第一份 hacking 工作。
您为什么而hack 以及为何要通过漏洞奖励来 hack for good?
我喜欢挑战,故而喜欢 hack。我认为 hacking 是一个非常宽广的领域,几乎不存在学习的边界。比如,你可以成为一名非常出色的 Web 应用 hacker,但是如果你转向逆向或内核 hacking 的领域,你基本上就相当于从零开始。某些技能最终会迁移过来,但于我而言,学习是任何一个新项目的最重要的部分。
什么样的漏洞奖励计划让人兴奋?
我认为奖金金额、企业支付所有类型 bug 的意愿以及主要是企业真的修复你所提交漏洞的意愿之间应该是一种良好的平衡关系。另外一个重要因素是,这家企业是否有名以及是否从事有意思的行业。
你参与或不参与漏洞奖励计划的标准是什么?
过去我已经停止参与漏洞奖励计划了,原因是即使企业支付奖金但不会修复任何漏洞,而且因为这个原因我会遭到很多重复报送的情况。另一个问题是支付时间。某些漏洞奖励计划修复漏洞和发放奖金的时长长达三个月,对我压力很大。
你一次会参加几个漏洞奖励计划?为什么?
我只会 hack 按照经验来看是良好的特定的漏洞奖励计划。从我的经历来看,我主要 hack Verizon Media 公司,不过我也参加了一些非公开的计划。因为我认为我找 bug 的路子源自对一家公司外部攻击面的理解以及整体架构的理解。参加新的漏洞奖励计划会让我在同等时间内的收入减少,投入加大。
您如何选择优先挖掘哪类漏洞?
一旦你选定某家公司的某类漏洞,找到同类型漏洞的机会就会增加,因此我倾向于优先查找类似的漏洞。这是因为某类技术和开发实践失败的方式类似。例如,我找到很多同类型的 SSRF 漏洞,原因就在于厂商设计 API 和网络布局的方式一致。
您如何跟进最新的漏洞趋势?
我认为跟进最新趋势的好处很多,但我尽量不会追风了解其他人在干什么,因为你做自己的事情价值也很大。尤其在漏洞奖励领域,多数发布的内容在发布时就已经过时了。这是因为一般而言,没有人会公布一个潜在的挖洞来源,所以他们会等到知识不再适用的时候才会发布。我一般通过 Hacker News 了解一般的 IT 新闻。
您希望企业在设立漏洞奖励计划之前,首先了解哪些东西?
设立漏洞奖励计划并不能保证黑客会查看你的 Web 应用并进行审计。要吸引黑客投入时间,必须在奖金以及响应度方面做出一定程度的保证。
您如何看待未来5到10年漏洞奖励计划的走向?
从我个人来看,我认为现在是从事漏洞挖掘的好时机,而且情况变得越来越好。我认为人才的竞争会越来越激烈,从而导致奖金越来越高,漏洞奖励计划越来越多,而涵盖范围也会越来越广。
您会向其他人推荐哪些hacking的学习资源?
比起课程或更正式的培训,我更喜欢 hacking 挑战。虽然做“假装的” hacking 活动看起来很搞笑很傻,但参加这些挑战活动、努力解决这些挑战、然后习得另外一种技能或技术具有巨大的价值。我认为最让人兴奋的是,你在这些实验中使用的技术同时也是你作为渗透测试人员或漏洞猎人将要使用的技术。我个人用的是 Pentester Labs,它价格便宜、给人的启发大而且全面。
对下一代黑客,您有哪些建议?
我不习惯给别人提建议,因为我自己都不明白我在做什么。不过,硬要提的话,我建议做一个体面人并尊重他人。虽然找到一个漏洞并发布公开可能感觉很爽,但这种向外求认同的做法经常会让你消耗殆尽,且将事情演成为你死我活的竞争。
另外一个建议是不要偏执于别人发现了多少个漏洞。其他人的投入不同,优先级不同而且道德标准也不同。和别人攀比漏洞数量就像用苹果比香蕉,没有可比性,最好是专注并享受你自己在做的工作。
Hacking 之余,您的生活是怎样的?
在 Hacking 之余,我会陪女儿,跟她玩,陪她长大。我还喜欢户外活动、远足、跑步。
推荐阅读
原文链接
https://www.hackerone.com/blog/hacker-spotlight-interview-benteveo
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
707
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
