人物介绍
André Baptista(@0xACB),葡萄牙人,波尔图大学医学信息学院、信息安全学院特邀教授,波尔图电脑与系统工程研究院(INESC-PT)高级研究员,波尔图大学CTF战队ExtremeSTF队长,信息安全公司PENTHACK创始人,喜欢二进制漏洞利用和逆向工程。
André是典型的由CTF选手转型Web挖洞的安全研究员,他曾在ShiftAppens 2014、 s3c|th0n Mobile Security Hackathon 2015、S3cthon CTF 2016和H1-702 Mobile 等多个地区性CTF竞技比赛中展露头角,并通过CTF比赛获得了HackerOne线下黑客马拉松大赛参赛资格。之后,于2018年3月,以一个价值$25,000美金的Shopify SSRF高危漏洞荣获H1-202大赛“最具价值黑客”称号(MVH),在当时名震江湖。此次采访,André Baptista和我们分享了如何保持挖洞动力,以及他自己的一些测试目标。
观看视频
采访实录
“出于什么原因选择做漏洞众测(Bug Bounties)?”
大概是两年前吧,我从Shopify收获到了第一笔漏洞赏金。在此之前我喜欢到处去参加一些类似CTF的攻防比赛,但开始做众测之后,我才能有机会任职一些安全公司,与一些知名安全团队进行各种线上线下的合作,并与他们交上朋友,这些我觉得是比较有意思的。
“你认为找漏洞具有挑战性吗?”
这要看情况,有时参与某些测试比赛时状态不佳收获不好,但可能却在其他比赛中能有所发现。一直保持奇佳状态是根本不可能的,肯定会起伏不定,这取决于你投入的精力,你用心去做的测试分析,因为我们不可能像全职漏洞赏金猎人那样付出太多的时间精力,而且有时候还要看运气,但前提是你也要尽心做好准备。
“你觉得线下的实时漏洞测试比赛对你有所提高吗?”
能参与这种比赛当然是好的,因为通过比赛你就有机会向公司厂商或平台展示自己,以这种发现漏洞的方式,来向各种公司企业证明自己的价值。我第一次参加这种比赛时,与其他参赛白帽相比,根本不算优秀,但正因如此让我决心立志要成为一个漏洞众测高手,至少我要慢慢向高手靠近,而且我也坚信终有一天,我也会成为优秀白帽中的一员。
“你目前的漏洞测试目标是什么?”
我给自己设置的测试目标大多极具挑战性,而且会努力去实现,另外我还想多多去发现一些奇怪的漏洞,因为这样才能逼自己不断学习新知识,才能证明自己可以发现并利用这些漏洞。在参加每场众测比赛时,我都会尝试去测试不同的应用服务,虽然有时能表现非凡,有时却成绩不好,但实际来说我设置的目标意义在于其挑战性,而非太多的赏金和其它因素,我看重的是其具备的技术挑战性、漏洞复杂性奇特性,当然还有协作性,因为通过团队合作有时候可以发现一些不可思议的漏洞,因为团结聚力才能大放异彩,才能大出奇迹。
“漏洞众测对你的生活方式有何改变?”
这当然有所改变,因为单从赏金方面来说就是一种改变,另外从安全技术方面来看,对我也有所提高进步,而且如果能被邀请参赛,还可享受全球旅行式的飞来飞去,去不同地方与不同白帽共同比赛,测试不同的目标系统,这当然非常过瘾。此外随着漏洞赏金的逐年增加,安全问题被日益重视,随之而来的是漏洞赏金越来越高,就像去年拉斯维加斯那次的漏洞测试赛,其总奖金就达到了两百多万美金,这种大手笔的漏洞赏金非常诱人,如果你足够优秀又状态奇好,那发现一个5万美金的漏洞也是完全可以的,说到底这种高额漏洞赏金,真的能让一众白帽为之投入而兴奋疯狂。
“你如何保持挖洞动力?”
如果我一个星期或更长时间之内,没有任何漏洞发现,我就会毫无头绪失去动力,一周时间内无任何漏洞或问题发现,有可能是运气不好,但也有可能是你对目标范围的关注点还不够深入细心,所以我的方式是一周之内每天只用大概3小时左右的时间投入测试,因为我工作的大学还有其它事情需要处理,如果在五天之后还没有任何发现,我就会尝试变换方向或目标,或者与技术伙伴进行一些线上线下交流,因为我们经常一起测试,然后他们可能就会变换角度想到切入点。要学会在测试范围内以多角度看待测试目标,比如可以变换去测试后端应用,变换去测试不同的请求,如果你对你预定的目标已经无技可施,那么可以尝试变换测试角度,可能就会发现更多。很多人都对此有所感触,尤其是在这种线下实时比赛中,因为它设置的目标范围非常之多,都可以顺着测一遍,但难免会遇到毫无头绪的时候,而在变换测试角度或目标之后,很多白帽都能有所发现,我也有过类似经历,换种测试思路马上就能立竿见影,真的是柳暗花明又一村的感觉。
*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!
* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM
