白帽专访 | 雷神众测2020Top1白帽,他来了!
共 1603字,需浏览 4分钟
·
2021-09-06 00:58
让小伙伴们久等了!
【白帽专访】第二期如约而至
“白帽专访”是雷神众测新增板块,旨在通过与白帽大神级人物的直接对话,来探寻极致,传承网络安全的极客精神,希望更多的白帽子可以加入我们交流讨论一同拨开重重迷雾,探寻前方道路。
为了表示我们的诚意
本次特邀到了
雷神众测2020年度Top1:红色键盘
走过路过千万不要错过
加入我们,修炼“武功”!
红色键盘
雷神众测2020top1
360众测2020年度top5
滴滴src2020年度top10
漏洞盒子S级白帽
网络尖刀犯罪情报团队负责人
更了解· Ta
#01
简单的介绍一下自己吧~
大家好,我是红色键盘(Hong),来自网络尖刀团队,很荣幸能被雷神众测采访。
#02
红色键盘ID是如何而来呢?
在这个圈子,我和黑色键盘认识的最早。在一次玩笑中,他说他要去改名字,改姓黑,因为他叫黑色键盘。我说那我姓洪,叫红色键盘吧。于是我就把ID改成红色键盘了。
#03
是如何分配工作、生活和挖洞的?
由于我是全职白帽子,所以在我的时间划分里,挖洞一般是大于生活的。
#Ta的挖洞之路
#01
是在怎样的机遇下进入圈子的呢?
大多人可能是因为盗号,刷钻,类似的案例而进入安全圈。其实我很普通,起因是上初中喜欢玩单机游戏。记得当时在搜索游戏下载,点进去后网站被挂了黑页,因此对这个产生了兴趣,于是我就想去了解一下这个是怎么实现的和做到的,而后一步一步入坑。
#02
挖过最久的漏洞是哪一个?难度在哪里?
印象最深的有2个。一个是16、17 年的时候,当时守着一个站,守了近一个月左右,从信息收集再到渗透,一点一点匍匐前进,尝试了很多次才拿下。
另一个就是去年雷神众测的一个银行项目,当时面对着丰厚的奖金价格,使我一次一次地静下心慢慢的去渗透,最后审计出程序的漏洞,配合信息泄露的弱口令打下了权限。
Ta之所感
#01
认为挖漏洞最重要的是什么?
我认为最重要的是耐心+细心:细心用来收集一些敏感的东西;耐心用来告诉自己不要轻言放弃,慢慢的看,一个功能一个功能的去看,总会有突破口地出现。
#02
在挖漏洞上,有什么好的方法可以分享给大家吗?
无非就是多注意一些自己觉得都没漏洞的地方,这样可能会有意想不到的漏洞。比如返回包里的setcookie , 注册或找回密码处的用户名参数的注入等。尽量要高效的去挖掘漏洞,要学会用魔法对抗魔法。
#03
对于新人朋友,有什么学习建议?
新人的话,掌握 owasp top10 以后就可以去开始累积经验,有条件的情况下可以去复现一下漏洞。因为我觉得只要动手,就是一个很好的开始,哪怕踩坑,踩坑填坑,就是学习进步,以后在遇到类似的情况,就有经验去应对。
Ta与雷神众测
#01
成为雷神众测Top1的白帽子,有什么感想?
很幸运能拿到雷神众测Top1。这对于我来说,这一方面是平台对自己技术能力的肯定,另一方面也会带给我一些压力。因为随着网络安全技术的不断更新,需要学习的技术层面也在时刻更新着,学无止境,警示着我必须保持着时刻的学习态度去面对,防止被淘汰。
#02
你与雷神众测发生过印象最深的事情是什么?
去年的时候发生过一件事,有一期项目,我挖了几个危害比较大的漏洞,但是由于出范围,厂商拒绝接收。那个时候,运营包括雷神众测负责人,一直在帮我对这个漏洞进行沟通,最终厂商接受了我这个漏洞!非常感谢!
#03
对雷神众测有什么想说的或是建议?
与其说是建议,不如说是祝愿。希望雷神众测越做越好,项目越来越多,奖金越来越高。毕竟我是全职白帽子,这样我也能赚的更多!
不得不说
红色键盘师傅的分享太用心了
这么多知识点
都学“废”了吗?
快拿小本本记录下来~
—END—