技術靠學習來提升,實力用經驗來積累,沒有人能随随便便成功!
白帽江湖人才輩出,傳奇人物不勝枚舉,這裡隻用實力說話,也許你沒見過大佬真容,但ta的“傳說”或許早有耳聞~
Xrayteam安全團隊的xxxeyJ:“挖洞隻是展現個人能力的一種形式,短期内的确能産生一定收益,但不要讓它成為展現你個人價值的唯一标準。”
The loner安全團隊的月神:“白帽子都感受過挖洞的孤獨,沒人分享喜悅,也沒人傾聽悲傷。雖然團隊名叫孤獨者,但是我們希望把每個白帽子凝聚在一起,從此不在孤獨!”
淵龍Sec安全團隊:“為國之安全而奮鬥,為資訊安全而發聲。技術是枯燥乏味的,如果你決定進入網安行業,請一直保持熱愛!”
今天我們又探尋了1位神秘白帽
Ta就是
“菜菜子,網絡尖刀成員,Can’t RCE安全團隊的隊長,現從事在安全服務行業。
曾獲榮譽
2021年百度杯積分第一名
2021年BSRC年榜第二名
2020年BSRC年榜第二名
相信很多師傅在各家SRC榜單見過菜菜子這個ID,實力有目共睹,今天惡靈表姐通過采訪菜菜子,分享了Ta的獨家挖洞秘籍和心得感悟,文末還有抽獎環節,别錯過呦!
1、認識菜菜子
惡靈:感謝師傅參加本期采訪,先給大家打個招呼吧~
菜菜子:大家好,我是菜菜子,網絡尖刀成員,Can’t RCE安全團隊的隊長,現從事在安全服務行業。平時也喜歡打遊戲、聽音樂、看日劇,還喜歡和朋友們出去玩。
2、如何走上挖洞之路
惡靈:師傅是在怎樣的機遇下接觸的安全呢?
菜菜子:我的專業是生物資訊學,由于專業需求做了數學模組化,在模組化時選修了一門密碼學,老師第一節課就講了CTF,當是感覺挺有意思的,後來就跟着這個老師學。
這個老師剛好也是我們學校負責CTF比賽的,當時同屆打CTF的學生很少,我剛好對它感興趣,就跟着老師一路打比賽,後來慢慢又接觸了挖漏洞賺賞金。
惡靈:分享一次印象深刻的挖洞經曆?
菜菜子:我挖洞比較佛系,一般就site。有一次我site某大廠的檔案服務,結果發現一個很詭異的目錄,檔案名是某個周日的下午兩點(20xx-10-xx-14:00.log),我随機修改了幾個周日作為檔案名,發現都能讀到,然後我在某個周日的檔案裡找到了洩漏的敏感資訊,最後評級為嚴重漏洞。
3、揭秘菜菜子的挖洞技巧
惡靈:給大夥分享一個獨家挖洞技巧吧!
菜菜子:多研究API,很多時候看起來官方用API挺安全,但是你拿到手上就會發現漏洞。
多思考業務在擷取這個API文檔後會如何調用,如果他按照官方文檔調用會有什麼麻煩的地方,為了避免這些麻煩,他會不會投機去使用一些錯誤的方式來調用,站在開發者的角度去思考,會挖到很多意想不到的漏洞。
4、Ta與i春秋
惡靈:對i春秋有哪些想說的話?
菜菜子:感謝i春秋提供了一個展現自我的機會,希望在接下來相處的時間裡,能夠建立更加深度的合作,同時祝願i春秋在未來發展越來越好,希望能舉辦更多的衆測活動讓白帽子們互相認識,交流學習。
新朋友們,推薦大家加入i春秋的春秋雲測項目,漏洞相對好挖,而且定級合理,獎勵豐厚,是非常靠譜的衆測平台!
惡靈:未來師傅有哪些新的規劃?
菜菜子:由于工作原因越來越忙,挖洞的時間也在不斷縮減,今後我也會合理安排好時間,在多個領域學習新知識,豐富自己的學識,不僅僅局限在安全領域。
本期白帽采訪就結束啦
更多大佬成長故事
請繼續關注i春秋
白帽專訪丨大家好,我們是淵龍Sec安全團隊
白帽專訪丨月神:我的The loner安全團隊
大家好,我是謝公子,來自深信服—深藍攻防實驗室
大家好,我是腹黑,白帽100安全團隊負責人