【白帽十问】斜杠青年勇闯白帽世界,有亿点点成功

admin 2022年7月6日20:59:09评论28 views字数 2145阅读7分9秒阅读模式
【白帽十问】斜杠青年勇闯白帽世界,有“亿点点”成功

我们时常用收入的多少来衡量一个人的成功与否,从这个角度来看Poc Sir,他绝对是“世俗意义”上一位成功的白帽子。他仅用2年时间,就通过挖洞为自己赚到100万,此时他刚20岁出头。

初来平安SRC就很快崭露头角,本次访谈我们和这位年轻人一起聊聊他白帽生涯中浓墨重彩的一笔,聊聊他那些闲散的时光和闪闪发亮的爱好。



【白帽十问】斜杠青年勇闯白帽世界,有亿点点成功

嘉宾简介:

Poc Sir,法国大学在读,计算机与数学专业,主攻金融安全漏洞挖掘。目前雷神众测总排名第一,微博SRC安全专家。Packer Fuzzer工具主创成员、Hack Inn社区运营者。



Q1:什么时候开始挖洞?挖洞累计获得多少收入?目前为止你获得的最好的成绩是?

 Poc Sir :第一次挖洞是在2015年高中国庆假期期间,为了获得乌云的邀请码向乌云提交了第一个有效漏洞。2020年留法读书,疫情期间开始规模化的挖洞,到目前为止大概获得了税后100万+的奖金。现在是雷神众测总排名第一的白帽子,2020年中,用三个月时间拿到了平安SRC年度第四,一个月时间拿到了微博SRC年度第四。

 

Q2:通过挖洞2年赚了100万+,这个收入在你的圈子是什么水平?对你的生活有什么改变吗?

 Poc Sir :一山还比一山高,论武功俗世中不知边个高。在这两年的漏洞挖掘过程中,我认识了我老婆,从相知到相恋职业路上的风风雨雨她都一同陪我走过,横跨亚欧大陆见证了我的成长与蜕变。

 

Q3:印象最为深刻的一次挖洞经历是什么?

 Poc Sir :印象最深的一个漏洞是某公司的一个多层逻辑漏洞,可以使用该漏洞直接取钱。在测试的时候发现多支付了比订单金额多一倍的钱却没有产生任何漏洞,挖到后面我内心觉得应该是没戏了...…这比越权帮别人支付订单、CSRF修改他人性别的漏洞还不如。过了一天,越想越气就继续测试,最后发现漏洞本身隐蔽性强还需要触发多个逻辑链路才能利用此漏洞。

 

Q4:你怎么定义“白帽子”?你认为成为一名合格的白帽子,需要具备哪些基本职业素质?

 Poc Sir :在网络安全的议题反复被提及的今天,越来越多人知道“白帽子”这个群体的存在。“白帽子”对我来说是一个非常神圣的词,成为一名“合格”的白帽子,也是我需要终生学习的课题。至于基本职业素养,我觉得不断地精进自己的技能,才不会被这个行业或这个社会抛弃。

 

Q5:你在Packer Fuzzer工具的开发中扮演什么样的角色?

 Poc Sir :Packer Fuzzer是我在2020年暑假期间在亚眠和图卢兹的小旅馆里拉着几个朋友一起做的,我算是主力成员吧。因为“前后端分离框架”逐渐成为主流的Web技术,它会将所有的API都打包在js中,但每次做渗透测试都要在几万行的js里面去手动寻找API很不方便,所以想开源一个能够针对Webpack等前端打包器所构造的网站进行快速、高效安全检测的扫描工具,由此Packer Fuzzer就诞生了。

 

Q6:你是一名白帽子的同时还是Packer Fuzzer工具主创成员、Hack Inn社区运营者,那你是如何分配时间的?

 Poc Sir :每个人的精力都是有限的,平日里我主要是在全身心投入做一些安全研究,闲暇的时间里会抽出时间来优化Packer Fuzzer或是整理Hack Inn上的资料等等。

 

Q7: 这么多年一直坚持下来,是什么给予你力量?

 Poc Sir :对职业的热爱以及家人对我的支持,最幸运的也是自己喜欢的行业可以成为我的职业。我并不认为挖洞或是Hack Inn社区运营等等是一种工作,我的休闲娱乐全都在安全的世界里。在搞安全研究同时还能赚钱,每天能接触到好多新的内容有所收货与成长,还可以和老婆分享在安全行业内遇到的种种“旖旎风光“。

 

Q8:用四个字评价自己?

 Poc Sir :仍需努力

 

Q9:接下来还打算继续挖洞吗?你是如何规划自己的成长路线的?

 Poc Sir :接下来打算主攻金融安全研究,在安全研究的过程中势必会产生漏洞沉淀或说安全研究本身就是漏洞挖掘的一部分,两者并不冲突。金融行业由于其特殊性,对网络安全技术要求相对较高,不论是金融硬件安全、Web安全或是APP安全这些方向都有非常多的空间值得去探索。

 

Q10:你是如何提升自己的能力的?有哪些学习渠道或建议给其他同行?

 Poc Sir :计算机技术发展的太快了,没有一个人能说自己的知识储备是足够的,可能今天一个非常高难度的漏洞在一段时间后就成了明日黄花。搞网络安全行业需要无时无刻不停地学习新技术,遇到问题时求助与搜索都是很重要的能力。目前我运营的Hack Inn社区,已经收集整理了自2016年以来国内外数百场会议、近5000份资料,可以说是自己或网络安全爱好者们的备忘录和后花园,并且每一次的资料整理,对自己来说都是一次温故知新的过程,也欢迎大家常来逛逛。


#


IN THE END


Poc Sir大抵就是别人家的孩子

老师眼中的得意门生

同龄人眼中的人生赢家

爱情事业双丰收,引人艳羡


不过纵有不一样的青春

亦有别样的风采

20岁该是什么样子?

成功的人生该是什么样子?

一个白帽子的成功该如何定义?

由各位自由书写

尽兴就好





点赞、在看,感谢你的阅读▼ 


▼ 点击阅读原文,进入活动页面

原文始发于微信公众号(平安集团安全应急响应中心):【白帽十问】斜杠青年勇闯白帽世界,有“亿点点”成功

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月6日20:59:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【白帽十问】斜杠青年勇闯白帽世界,有亿点点成功http://cn-sec.com/archives/1162104.html

发表评论

匿名网友 填写信息