认识下这位全能型漏洞猎人

他，是CTF比赛铁粉，业余挖洞，是渗透测试工程师，也是软件工程领域的大师，他就是全能型安全从业人员 @manoelt。他三次夺冠 CTF 比赛，并有机会参加布宜诺斯艾利斯、拉斯维加斯和旧金山的现场夺旗比赛。他曾熬夜24小时完成一场 CTF 比赛，而且他同时还有一份全职工作，一个美满的家庭，工作家庭两不误！

在工作之余，@manoelt 会在 YouTube 上为巴西社区发布和安全相关的葡语内容。他花费大量的实践解迷题和参加 CTF 比赛，除此以外，就是陪伴女儿们、阅读、看电影和旅行。我们看下他是如何在网络安全这个不断发展的行业中不断取得进步的。

Q：你的 HackerOne 用户名有什么故事吗？

A：就是我的名字加上姓氏的首字母。

Q：你如何结识 hacking？

A：主要是通过 IRC 频道和 IRC 客户端（脚本）接触的。我想知道如何切断别人的网络连接。另外通过互联网控制另外一台电脑太疯狂了，我得明白怎么才能做到。

2002年，我在学习一个和 Web 开发有关的课程。一天我的老师展示了他为当地机构构建的一款 Web 应用。于是我就问他能否在应用上测试我所学的知识 SQL 注入，而 ‘or’1’=’1 确实在登录页面上奏效了。神不知鬼不觉地获得管理员权限的感觉以及让老师抓狂的感觉令人难忘。（他召回了应用并停用系统以维护。）

你 hack 的动力是什么？为何会通过漏洞赏金来hack for good？

我为挑战和金钱而来。我极度渴望了解更多的 web 漏洞，以及想了解为何别人能找到我发现不了的漏洞。我们对每个漏洞都持有好奇之心。

Q：在拉丁美洲当黑客赚赏金的好处是什么？

A：目前1美元相当于5巴西雷亚尔。汇率差在其它拉美国家更大。所以参加漏洞奖励计划会在金钱方面有很大的提升。另外，作为外国公民无需担心遭误解就能够报告漏洞是另外一个方面。

Q：什么样的漏洞奖励计划令人兴奋？

A：和沟通的关系最大：和漏洞猎人开放交流，策略清晰，解释开放点和原因来指导报告决定等。另外，涵盖范围广泛是猎洞的好机会。

Q：你决定继续参加漏洞奖励计划的原因是什么？

A：计划的沟通渠道通畅，就像上个问题说的。另外，当我了解了后端运行的方方面面时，我就更愿意参与，因为我可以想象整个攻击场景。

Q：你决定不参加漏洞奖励计划的原因是什么？

A：当我发现自己的工作得不到尊重时。缺乏沟通时，当我得不到回应时，基于未达成一致的 CVSS 评分而发放赏金时，以及当漏洞奖励计划修复漏洞的时间较长导致漏洞重复时都不会继续参加。

Q：你认为一次接触多个计划好还是只关注一个好？为什么？

A：在一个计划上集中精力和创造力，并通过自动化参加多个计划。当你集中攻克一个计划时会获得更多的信心，你会了解事情的运转机制，这样以后创造无法被扫描机制检测到的攻击场景时就会更容易。

Q：当你Hack 某资产时，你会仅集中于一个漏洞攻击场景还是多种漏洞类型？

A：多种漏洞类型，不过主要是服务器端的漏洞。

Q：你学习新漏洞趋势的三大网站、博客文章、账户、文章或其它资源是什么？

A：Hacktivity、PentesterLand 简报和一些安全研究员的推特账户。

Q：你认为公司设立漏洞奖励计划之前应该怎么做？

A：做好在合理期限内接收并修复漏洞的准备，这就要求有一个合适的团队和软件开发生命周期来配合漏洞报告。另外，安排人员管理以及和漏洞猎人沟通将会增加计划的成功几率。另外，强烈建议在设立计划之前先进行渗透测试。

Q：你认为协作对漏洞奖励计划的重要性是什么以及你对黑客和平台的建议是什么？

A：是否协作是漏洞猎人的决定。如果你想和其他黑客协作，那就去做；找到新漏洞的几率会增加。另外一方面，如果不习惯协作，那么还是有可能找到漏洞。但我必须说明的是在现场 hacking 活动中，协作是获得成功的关键。

平台可以开发创建团队的功能并允许他们共同写报告。另外，邀请系统也可以向整个团队开放。

Q：你有自己的导师或国际和当地能够鼓舞你的人吗？

A：虽然我没有导师，但非常感谢 CTF 团队 (Epic Leet Team) 的好朋友们以及巴西社区的朋友们。

Q：你会推荐哪些 hacking 教育资源？

A：CTF 是团队活动，也是我学习和提升的途径。关注 CTFTime 了解CTF新活动。目前我们有很多专注于挑战的平台如Hackthebox、Try Hack Me 和 Portswigger Web Academy。另外，最近我还用葡语教授现代 Web 利用知识。

Q：你对下一代黑客的建议是什么？

A：利用好当前可用的所有免费安全资源。