【白帽十问】菜鸟白帽的升级打怪之旅

Q1：什么时候开始挖洞？挖洞累计获得多少收入？目前为止你获得的最好的成绩是？

 望海寺 ：第一次提交有效漏洞是在2020年5月，为了获得EDUSRC的邀请码，提交了一个统一身份认证平台的漏洞。从2021年的暑假开始，才真正算是踏上“挖洞”这条路。算上一些线上项目，赚到的奖金刚好入门六位数。

Q2：印象最为深刻的一次挖洞经历是什么？

 望海寺 ：印象最深的一个漏洞是在B站冲浪划水的时候，看到某公司官方账号发布了一个系统的详细使用教程，刚好前段时间我也在挖掘这个域名下的网站。视频教程中有出现几秒域名没有完全打码的情况，这是一个非常不规则的域名，我硬生生一个字眼一个字眼的抠出来拼接访问，访问之后虽然视频中没有给出账户密码，但存在缺陷可以爆破存在用户，利用验证码登录，居然还存在万能凭证可以登录任意用户，进入发现是一个类似测试站点，刚好此测试站点有对应正式站点，在正式站点注册登录利用测试站点发现的漏洞进行复现。

Q3：从高二开始就参加了很多比赛，并获得优异成绩。竞赛生涯给你带来了什么？

 望海寺 ：通过竞赛接触到网络安全，正是有较早接触网络安全才能让我更加全面的规划好学业乃至人生的道路，同时在竞赛中技术能力得到了很大的提升，让自己有了立足的根本。更为重要的就是每一次比赛相当于一次免费的旅游，踏遍河山，开眼界，满口福。（哈哈）

Q4：你认为成为一名合格的白帽子，需要具备哪些基本职业素质？你觉得自己还有哪些方面需要努力？

 望海寺 ：白帽子虽然目标是发现系统漏洞，但是不应该去恶意利用漏洞谋取私利，更为重要的是拒绝参与任何灰黑产业！

纵观行业前景自己还需要狠狠恶补内网知识，以及代码能力，这样才能不被后浪狠狠拍在沙滩上，哈哈，毕竟现在的后浪们都太猛啦。

Q5：挖洞过程中遇到了哪些困难？如何克服的？

 望海寺 ：遇到过很强劲的XSS限制，通过不断观摩大牛们的文章学以致用他们的bypass手法也是成功绕过限制；还有遇到挺多不懂的知识点，都放在团队群里师傅们要是知道都会热心解答

Q6：你为很多SRC提交过漏洞，在众多SRC中，是否有自己挑选的标准？

 望海寺 ：首先肯定是选择资产数量多，且经常爱出活动的SRC，其次更喜欢有那种可以有跟审核师傅进行漏洞评级有意义进行商讨的SRC。

Q7：毕业后打算继续继续挖洞吗？还是打算换行？

 望海寺 ：目前看高中和大学的学习是会继续走漏洞挖掘这个方向，同时也会扩展所需的技能树。换行应该也是要等有中年危机的时候再进行的吧哈哈。

Q8：用四个字评价自己？

 望海寺 ：持之以恒

Q9：除了挖洞，闲暇时间会做什么？

 望海寺 ：闲暇之余喜欢跟着发小们组团打打游戏，健身强健体魄，一起自驾出去游玩。

Q10：你是如何提升自己的能力的？有哪些学习渠道或建议给其他同行？

 望海寺 ：相较于我自己而言，我的学习路程极大部分都是自己寻找一些文献、文章、视频来提升自己的知识面，自认为较为重要的还是需要勤做笔记，这样才能加深对所汲取到知识的印象，也方便日后遇到相同问题可以有迹可寻；还有就是不单单只靠看，还需要自己去实践，毕竟实践出真知；

选择行业中的人，选择志同道合的人，去跟着他们一起学学。加入F12sec安全团队，在团队师傅们的不断互帮互助下我的渗透测试能力也有大幅度的提升。读万卷书不如行万里路，行万里路，还需名人指路，就是这个道理。