猎洞20年老兵的经验之谈

Hacking 老兵 @ralamosm 已猎洞20多年。他是HackerOne 平台上的“最有价值黑客 (MVH)”，也是阿根廷榜单上的常客，他激励着人们去突破去主动学习。Hacking 之余，ralamosm 或陪伴家人或阅读漫画书或打乒乓球。下面就让我们跟随他的脚步学习如何挖掘自己的潜力并将之变成漏洞奖励吧！

Q：你的用户名有什么故事吗？

我用的就是自己的名字。

Q：你 hack 的动机是什么，为何要通过漏洞奖励 hack for good?

从自我表达方面来讲，我只做自己热爱的事情。幸运的是，自己热爱的事情会得到丰厚回报，而且这件事还能让我完全独立，这就更好了。

Q：作为拉美地区的黑客，通过漏洞奖励实施 hacking 的好处是什么？

漏洞奖励让位于拉美地区的黑客能够获得很好的机会，抵达通过普通工作无法企及的高度。

Q：什么样的计划是令人兴奋的目标？

他们对漏洞报告的响应，以及奖励金额。

Q：什么是你继续参加某项计划的决定性因素？

自己的漏洞报告会被认真对待的计划。

Q：你决定不再参加某项计划的原因是什么？

响应速度缓慢，几个月也不修复漏洞，所以会不断出现有重复的漏洞报告。

Q：你建议一次参加多个计划还是仅关注某项计划以及为什么？

一切取决于你自己的做事方式。我一般只集中于一项计划并试图从中学习尽可能多的东西。同时，我会时不时地回看几个其它计划。

Q：当你hack 某项资产时，是仅关注一种漏洞攻击场景还是关注多种漏洞类型？

我对高危/严重漏洞感兴趣，每个漏洞奖励计划中这些漏洞的情况可能不尽相同。不过如果我找到的是其它级别的漏洞，我也会报告。

Q：你了解漏洞新趋势的网站、博客、文章或其它资源是什么？

我会推荐 HackerOne Hacktivity，并且尽可能多地追踪研究员/漏洞猎人的推特账号。

Q：你认为新企业设立漏洞奖励计划时应做什么？

在设立漏洞奖励计划前，先在 HackerOne 网站上进行渗透测试，修复容易发现的漏洞。

Q：你有自己的偶像吗？全球性的或者当地的，激励你不断前进的导师？

我猎洞的时间很长，我想感谢那些在20多年前在 Phrack 黑客杂志写文章或西班牙语杂志 SET 写文章的前辈，正是你们的文字将我引向这个美好的活动。

Q：你对下一代黑客有哪些建议？

我的建议和20多年前那些前辈的教诲无异；曾经我们的资源少之又少，而现在十分丰富。利用好这些资源，不断实践，你就会成功。

Q：你最后想分享点什么？

我想对黑客朋友们分享的最后一个建议是，我印象最深的是很多黑客甚至不会尝试那些奖励5位数的计划，以为这些计划太难了或者自己不可能实现。千万不要这么想。先在精神上鼓励自己，然后疯狂努力，直至顶峰。你可能不会实现这个目标，但毫无疑问，取其上者得其中。正是这种信念让我不断到达新的高度，甚至是拿到了平生第一个“最具价值黑客”的称号，而这些是我刚参加 HackerOne 活动时想都不敢想的。