freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

【FreeBuf字幕組】HackerOne優秀白帽黑客采訪系列:Douglas Day
2020-06-30 13:35:43

人物介紹

Douglas Day(@the_arch_angel),2013年畢業于俄勒岡州立大學計算機系,先后入職JIVE、OPAL、New Relic等公司從事安全工作,現為Elastic高級安全工程師兼獨立安全顧問,Web安全專家,熟悉身份驗證繞過和權限提升機制,加密解密研究者。目前,Douglas Day在HackerOne平臺的有效提交漏洞為145個,名列第69名。

觀看視頻

采訪實錄

“你當時是如何接觸到安全技術的?”

這大概要說到,當時我在一家運營有漏洞眾測項目的公司工作,我的部份日常工作就是負責分類處理白帽提交進來的漏洞報告,在干了幾個月后,我從中也收獲了一些心得體會,我就想著其實我也可以發現并提交漏洞啊。

“你以什么方式保持挖洞動力?”

好多公司都在持續運轉,且會開設新的漏洞眾測項目,所以從這個角度來說,可以發現的漏洞都會是不同的,至少我認為從中可以發現一些與眾不同的漏洞類型。

“你認為實時黑客比賽對技能有所提高嗎?”?

實時黑客比賽確實對我有了非常大的提高,因為這種現場比賽需要講究一些團隊配合和協調參與,所以這種團隊測試活動,有時真的需要燒腦的臨場發揮和多方的互相幫助配合。

“你的漏洞測試目標是什么?”??

希望今年能發現一個RCE漏洞,也即遠程代碼執行漏洞,我差不多快有一年半的時間沒發現過RCE漏洞了,我想是時候該發現了。RCE漏洞可以說是漏洞眾測中的極品漏洞,在一些安全新聞報道中也時??梢?,它們非常受歡迎,且賞金價碼非常之高,但具有一定的發現難度。因為我好久都沒有發現過RCE漏洞了,所以這對我來說極具神秘感但又需細致耐心。

“你是怎么找到新工作的?”???

其實,我入職現在的公司,原因在于當時我參與了一個特殊的漏洞眾測項目,并成為了該眾測項目的第一名,當時項目里的白帽朋友和該項目的HackerOne平臺主管就聯名向現在的公司推薦了我,在此,我得感謝HackerOne平臺,能讓我有展示機會并找到新工作。

“用漏洞賞金購買過什么好物?”????

今年剛好用漏洞賞金買了一套房,非常非常感謝漏洞賞金,前后我差不多用了一年時間,不斷挖洞不斷存錢,總算實現了買房夢想,這對我來說是非常有成就感的事。

“第一次受邀參與實時測試比賽是什么感受?”????

我第一次收到實時測試比賽的邀請時是在健身房里,恰巧那天過得相當糟糕,我選擇在健身房里運動發泄,之后我立刻就精神煥發了。當我看到手機上的郵件提醒之后,頓時充滿力量,馬上完成了剩下的力量練習,可以說立馬就情緒高漲了。另外我認為參與實時比賽,是我漏洞眾測的一個里程碑,至少它讓我從業余愛好發現了自己真正能做的事情,也讓我的社交接觸面和職場生涯有了發展和起色。

“好的眾測團隊需要具備什么?”?????

好的漏洞眾測團隊,尤其是實時測試比賽中的眾測團隊,需要具備的一個關鍵因素是:需要大家積極溝通,如通過Google Hangouts、Skype或Slack等方式及時反饋交流,當然這種異步測試方式還不夠,有時還需要大家坐到一起,對某些難點問題或目標應用功能不斷討論斟酌,這樣才能讓團隊脫穎而出。

“對新手白帽有什么建議?”????

我能想到的最好建議就是,可以先從一些小的不活躍的眾測項目練手,嘗試去找這些很少人關注且相對冷門的眾測項目,因為其新推出的功能應用或是代碼更新,可能還沒人測試分析過,你就可以從中入手盡力去發現,慢慢從第一筆賞金開始累積聲譽積分;如果獲得內部測試邀請,就要抓住機會,深入研究認真對待,因為一些內部測試項目相對特別且競爭面較小。

“有值得感謝的人嗎?”?????

必須要感謝的是我的妻子和女兒,是他們的支持讓我有耐心廢寢忘食進行漏洞測試,尤其是在比賽之前特別特別耗費時間,但是我的妻子和女兒,非常對我有信心,而且總是不忘向別人吹噓我。我妻子是一名高中老師,她有時在教授課程中,會拿我的例子,去給她的那些對未來職業迷茫的高中生作為榜樣和啟發,有一些學生向她傾訴,希望以后從事安全行業,然后我妻子就會告訴他們我的經歷,分享我在舊金山和拉斯維加斯從事的工作,所以看到她用我的例子,去鼓勵去激發年輕一代投身安全行業,讓我非常具有價值認同感。

*本課程翻譯自Youtube精選系列教程,喜歡的點一波關注(每周更新)!

本文作者:, 轉載請注明來自FreeBuf.COM

# HackerOne # FreeBuf字幕組 # 白帽黑客采訪 # Douglas Day
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网