白帽专访 | 雷神众测2020Top1白帽,他来了!

雷神众测

共 1603字,需浏览 4分钟

 ·

2021-09-06 00:58

让小伙伴们久等了!

【白帽专访】第二期如约而至


“白帽专访”是雷神众测新增板块,旨在通过与白帽大神级人物的直接对话,来探寻极致,传承网络安全的极客精神,希望更多的白帽子可以加入我们交流讨论一同拨开重重迷雾,探寻前方道路。


为了表示我们的诚意

本次特邀到了

雷神众测2020年度Top1:红色键盘

走过路过千万不要错过

加入我们,修炼“武功”!



红色键盘


 雷神众测2020top1

360众测2020年度top5

滴滴src2020年度top10

漏洞盒子S级白帽

网络尖刀犯罪情报团队负责人

更了解· Ta

#01

简单的介绍一下自己吧~

大家好,我是红色键盘(Hong),来自网络尖刀团队,很荣幸能被雷神众测采访。

#02

红色键盘ID是如何而来呢?

在这个圈子,我和黑色键盘认识的最早。在一次玩笑中,他说他要去改名字,改姓黑,因为他叫黑色键盘。我说那我姓洪,叫红色键盘吧。于是我就把ID改成红色键盘了。

#03

是如何分配工作、生活和挖洞的?

由于我是全职白帽子,所以在我的时间划分里,挖洞一般是大于生活的。


#Ta的挖洞之路

#01

是在怎样的机遇下进入圈子的呢?

大多人可能是因为盗号,刷钻,类似的案例而进入安全圈。其实我很普通,起因是上初中喜欢玩单机游戏。记得当时在搜索游戏下载,点进去后网站被挂了黑页,因此对这个产生了兴趣,于是我就想去了解一下这个是怎么实现的和做到的,而后一步一步入坑。

#02

挖过最久的漏洞是哪一个?难度在哪里?

印象最深的有2个。一个是16、17 年的时候,当时守着一个站,守了近一个月左右,从信息收集再到渗透,一点一点匍匐前进,尝试了很多次才拿下。

另一个就是去年雷神众测的一个银行项目,当时面对着丰厚的奖金价格,使我一次一次地静下心慢慢的去渗透,最后审计出程序的漏洞,配合信息泄露的弱口令打下了权限。


Ta之所感

#01

认为挖漏洞最重要的是什么?

我认为最重要的是耐心+细心:细心用来收集一些敏感的东西;耐心用来告诉自己不要轻言放弃,慢慢的看,一个功能一个功能的去看,总会有突破口地出现。

#02

在挖漏洞上,有什么好的方法可以分享给大家吗?

无非就是多注意一些自己觉得都没漏洞的地方,这样可能会有意想不到的漏洞。比如返回包里的setcookie , 注册或找回密码处的用户名参数的注入等。尽量要高效的去挖掘漏洞,要学会用魔法对抗魔法。

#03

对于新人朋友,有什么学习建议

新人的话,掌握 owasp top10 以后就可以去开始累积经验,有条件的情况下可以去复现一下漏洞。因为我觉得只要动手,就是一个很好的开始,哪怕踩坑,踩坑填坑,就是学习进步,以后在遇到类似的情况,就有经验去应对。


 Ta与雷神众测

#01

成为雷神众测Top1的白帽子,有什么感想?

很幸运能拿到雷神众测Top1。这对于我来说,这一方面是平台对自己技术能力的肯定,另一方面也会带给我一些压力。因为随着网络安全技术的不断更新,需要学习的技术层面也在时刻更新着,学无止境,警示着我必须保持着时刻的学习态度去面对,防止被淘汰。

#02

你与雷神众测发生过印象最深的事情是什么?

去年的时候发生过一件事,有一期项目,我挖了几个危害比较大的漏洞,但是由于出范围,厂商拒绝接收。那个时候,运营包括雷神众测负责人,一直在帮我对这个漏洞进行沟通,最终厂商接受了我这个漏洞!非常感谢!

#03

对雷神众测有什么想说的或是建议?

与其说是建议,不如说是祝愿。希望雷神众测越做越好,项目越来越多,奖金越来越高。毕竟我是全职白帽子,这样我也能赚的更多!

不得不说

红色键盘师傅的分享太用心了

这么多知识点

都学“废”了吗?

快拿小本本记录下来~

—END—

浏览 81
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报