?聚焦源代碼安全，網(wǎng)羅國(guó)內(nèi)外最新資訊！

編譯：奇安信代碼衛(wèi)士團(tuán)隊(duì)

曾經(jīng)只出現(xiàn)在北美地區(qū)的?hacking?現(xiàn)象如今已成為一種全球趨勢(shì)。在亞太地區(qū)，由黑客驅(qū)動(dòng)的安全項(xiàng)目同比增長(zhǎng)30%。去年，美國(guó)黑客賺走了19%的?HackerOne?平臺(tái)上的所有漏洞獎(jiǎng)金，其次為印度（10%）、加拿大（5%）和德國(guó)（4%），它們是2018年黑客收入最高的五個(gè)國(guó)家。

印度？是的，是印度沒(méi)錯(cuò)。實(shí)際上 HackerOne 平臺(tái)發(fā)布的《2019年黑客驅(qū)動(dòng)安全報(bào)告》指出，2018年，印度道德黑客賺取的獎(jiǎng)金為2,336,024美元。

然后，你可能會(huì)問(wèn)，這些黑客是誰(shuí)？

本期我們邀請(qǐng)到了 Shivam Vashist。他在印度生活，其網(wǎng)絡(luò)昵稱(chēng) @Bull 更為人知，他是一名全職黑客。Shivam 放棄了考大學(xué)找一份穩(wěn)定工作的傳統(tǒng)路徑，轉(zhuǎn)而選擇當(dāng)一名全職黑客。幾年來(lái)，他教會(huì)自己的弟弟如何 hacking、幫助父親退休并帶著家人周游世界！

現(xiàn)在，我們和 Shivam 聊聊吧！

你好，Shivam！請(qǐng)先介紹下自己。

我叫 Shivam Vashisht（黑客昵稱(chēng)是 bull）。今年23歲，在成為全職道德黑客并以此為生之前，從事挖礦工程工作。

你什么時(shí)候開(kāi)始 hacking？

大概19歲時(shí)，我開(kāi)始學(xué)習(xí)更多的計(jì)算機(jī)知識(shí)并探索道德黑客的世界。

你的家人支持嗎？

剛開(kāi)始他們比較擔(dān)心。不過(guò)隨著時(shí)間的流逝，他們了解到道德黑客是完全合法和切實(shí)可行的工作后就非常支持。

你為什么選擇成為一名全職黑客？

與我而言，這份工作要比考上大學(xué)找份工作更令人興奮。道德黑客工作能讓我獲得報(bào)酬并挖掘自身潛力，我認(rèn)為這要比找一份傳統(tǒng)工作回報(bào)更大。道德黑客是我的完美工作，我想在什么時(shí)候什么地點(diǎn)工作都成，非常靈活。通過(guò) hacking，在前進(jìn)的道路上我能學(xué)到更多的知識(shí)，而且能收到豐厚的報(bào)酬。

全職黑客的優(yōu)劣勢(shì)是什么？

我認(rèn)為優(yōu)勢(shì)是它的靈活性，你可以在世界任何地方工作并且按自己的節(jié)奏工作。你就是自己的老板，而且還可能賺很多的錢(qián)。至于劣勢(shì)，我認(rèn)為收入可能不是太穩(wěn)定，可能精疲力竭，以及沒(méi)有社交生活。

你（平均）每天或每周hacking 的時(shí)間有多久？

我平均每周大概會(huì) hacking 15個(gè)小時(shí)的樣子。不過(guò)具體時(shí)間要根據(jù)我的工作計(jì)劃決定。有時(shí)候我可能會(huì)連續(xù)幾天盯著，有時(shí)候可能幾周都不會(huì) hacking。

你喜歡哪種 bug 類(lèi)型？

我基本上喜歡找服務(wù)器端的 bug，如服務(wù)器端請(qǐng)求偽造 (SSRF)、遠(yuǎn)程代碼執(zhí)行 (RCE)、SQL 注入 (SQLI) 和加密驗(yàn)證失敗類(lèi)的 bug。能造成更大影響的邏輯 bug、跨源資源共享 (CORS)/OAuth 配置不當(dāng)和鏈簡(jiǎn)單客戶(hù)端 bug 也是我的菜。

最讓你驕傲的 bug 是什么？

我在一款健壯的、用戶(hù)獲得非常細(xì)顆粒度控制的應(yīng)用中找到一個(gè)漏洞。開(kāi)始我在這款應(yīng)用內(nèi)查看這些控制，看它在默認(rèn)設(shè)置下能否被濫用，結(jié)果我發(fā)現(xiàn)很多用戶(hù)數(shù)據(jù)遭泄露。這個(gè)漏洞還可導(dǎo)致其它用戶(hù)的賬戶(hù)被控制。

我還找到了其它漏洞，其中一些可見(jiàn)：

http://witcoat.blogspot.com/2017/12/stealing-10000-yahoo-cookies.html

你獲得第一次獎(jiǎng)金是在什么時(shí)候？感覺(jué)如何？

我在20歲的時(shí)候從 InstaCart 之后是 MasterCard 獲得第一次獎(jiǎng)金。這種感覺(jué)太爽了，我不敢相信自己竟然做到了！好幾天我都興奮得睡不著覺(jué)！

你當(dāng)白帽黑客的動(dòng)力是什么？

當(dāng)我能夠想出解決挑戰(zhàn)的創(chuàng)新方法并發(fā)現(xiàn)其他人還沒(méi)找到的漏洞時(shí)，hacking 讓我飄然如仙。成功找到一個(gè) bug 的那種感覺(jué)讓我覺(jué)得自己活過(guò)來(lái)了而且很激動(dòng)！Hacking 跟我是絕配，當(dāng)然挖洞得到的獎(jiǎng)金也是一個(gè)很大的動(dòng)力，但它并非最大的動(dòng)力。

你有自己欣賞的黑客嗎？

當(dāng)然有了！優(yōu)秀的黑客非常多，不過(guò)其中一些黑客的創(chuàng)造性和創(chuàng)新性讓我茅塞頓開(kāi)，比如 @intidc (https://twitter.com/securinti)、@filedescriptor (https://twitter.com/filedescriptor)、@orange? (https://twitter.com/orange_8361)、 @jobert (https://twitter.com/jobertabma)、 @albinowax (https://twitter.com/albinowax )和@andre ( https://twitter.com/0xacb) 等等。

你對(duì)漏洞獎(jiǎng)勵(lì)計(jì)劃有什么看法？你認(rèn)為所有公司都應(yīng)該設(shè)立嗎？

漏洞獎(jiǎng)勵(lì)計(jì)劃是做安全的最佳方式之一。單單是觸及全球的黑客天才這一點(diǎn)就非常強(qiáng)大，而這也是漏洞獎(jiǎng)勵(lì)計(jì)劃成功的原因所在。我認(rèn)為所有公司都應(yīng)該考慮設(shè)立一個(gè)漏洞獎(jiǎng)勵(lì)計(jì)劃。

你對(duì)印度的網(wǎng)絡(luò)安全局勢(shì)怎么看？

雖然印度變得越來(lái)越數(shù)字化了，但我認(rèn)為計(jì)算機(jī)安全并未得到足夠的重視，而且我們的系統(tǒng)中可能存在很多尚未檢查的漏洞。我們需要更多的網(wǎng)絡(luò)安全意識(shí)。提升安全解決方案教育以及求助道德黑客社區(qū)可能是其中一種解決方案。

你認(rèn)為印度對(duì)黑客驅(qū)動(dòng)安全（即漏洞獎(jiǎng)勵(lì)計(jì)劃）概念的接受度怎么樣？

我認(rèn)為印度還沒(méi)有廣泛認(rèn)可這個(gè)概念。我認(rèn)為印度目前只有一些公司設(shè)立了漏洞獎(jiǎng)勵(lì)計(jì)劃。不過(guò)我估計(jì)未來(lái)幾年將有更多的公司加入。

你對(duì)道德黑客有哪些建議呢？

大量閱讀！跟隨其他黑客的步伐，了解他們是如何找到 bug 的，不停嘗試直到找到有影響力的 bug，它會(huì)給你帶來(lái)實(shí)踐技能夯實(shí)技能的機(jī)會(huì)。

推薦閱讀

HackerOne《2019年黑客驅(qū)動(dòng)安全》報(bào)告來(lái)了：看完你還堅(jiān)持挖嗎？

挖漏洞能發(fā)家致富嗎？HackerOne 誕生6名漏洞賞金百萬(wàn)富翁

原文鏈接

https://www.hackerone.com/blog/qa-hacker-personality-shivam-vashisht

題圖：Pixabay License

本文由奇安信代碼衛(wèi)士編譯，不代表奇安信觀點(diǎn)。轉(zhuǎn)載請(qǐng)注明“轉(zhuǎn)自奇安信代碼衛(wèi)士 www.codesafe.cn”。

奇安信代碼衛(wèi)士 (codesafe)

國(guó)內(nèi)首個(gè)專(zhuān)注于軟件開(kāi)發(fā)安全的

產(chǎn)品線。

? ??點(diǎn)個(gè)?“在看” ，加油鴨~

總結(jié)

以上是生活随笔為你收集整理的我是一名自由职业白帽黑客的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。