白帽专访 | 雷神众测2020Top1白帽，他来了！

“白帽专访”是雷神众测新增板块，旨在通过与白帽大神级人物的直接对话，来探寻极致，传承网络安全的极客精神，希望更多的白帽子可以加入我们交流讨论一同拨开重重迷雾，探寻前方道路。

红色键盘

大家好，我是红色键盘（Hong）,来自网络尖刀团队，很荣幸能被雷神众测采访。

在这个圈子，我和黑色键盘认识的最早。在一次玩笑中，他说他要去改名字，改姓黑，因为他叫黑色键盘。我说那我姓洪，叫红色键盘吧。于是我就把ID改成红色键盘了。

由于我是全职白帽子，所以在我的时间划分里，挖洞一般是大于生活的。

大多人可能是因为盗号，刷钻，类似的案例而进入安全圈。其实我很普通，起因是上初中喜欢玩单机游戏。记得当时在搜索游戏下载，点进去后网站被挂了黑页，因此对这个产生了兴趣，于是我就想去了解一下这个是怎么实现的和做到的，而后一步一步入坑。

印象最深的有2个。一个是16、17 年的时候，当时守着一个站，守了近一个月左右，从信息收集再到渗透，一点一点匍匐前进，尝试了很多次才拿下。

另一个就是去年雷神众测的一个银行项目，当时面对着丰厚的奖金价格，使我一次一次地静下心慢慢的去渗透，最后审计出程序的漏洞，配合信息泄露的弱口令打下了权限。

我认为最重要的是耐心+细心：细心用来收集一些敏感的东西；耐心用来告诉自己不要轻言放弃，慢慢的看，一个功能一个功能的去看，总会有突破口地出现。

无非就是多注意一些自己觉得都没漏洞的地方，这样可能会有意想不到的漏洞。比如返回包里的setcookie , 注册或找回密码处的用户名参数的注入等。尽量要高效的去挖掘漏洞，要学会用魔法对抗魔法。

新人的话，掌握 owasp top10 以后就可以去开始累积经验，有条件的情况下可以去复现一下漏洞。因为我觉得只要动手，就是一个很好的开始，哪怕踩坑，踩坑填坑，就是学习进步，以后在遇到类似的情况，就有经验去应对。

很幸运能拿到雷神众测Top1。这对于我来说，这一方面是平台对自己技术能力的肯定，另一方面也会带给我一些压力。因为随着网络安全技术的不断更新，需要学习的技术层面也在时刻更新着，学无止境，警示着我必须保持着时刻的学习态度去面对，防止被淘汰。

去年的时候发生过一件事，有一期项目，我挖了几个危害比较大的漏洞，但是由于出范围，厂商拒绝接收。那个时候，运营包括雷神众测负责人，一直在帮我对这个漏洞进行沟通，最终厂商接受了我这个漏洞！非常感谢！

与其说是建议，不如说是祝愿。希望雷神众测越做越好，项目越来越多，奖金越来越高。毕竟我是全职白帽子，这样我也能赚的更多！