44

【FreeBuf字幕组】HackerOne优秀白帽黑客采访系列-Corben Leo

 5 years ago
source link: https://www.tuicool.com/articles/JZBzmmF
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

人物介绍

Corben Leo(@cdl),19岁,南达科塔州州立大学计算机系在读,信息安全咨询分析师,专注于Web安全,熟悉Go、C、Python、Bash、PHP、JS等前端编程语言。

Corben发现的漏洞曾获得Google、Microsoft、Apple、Yahoo!、AT&T、美国国防部、ASUS、Nike、荷兰国家网络安全中心等公司和机构的致谢,并发现了11个具备CVE编号的漏洞。另外,Corben还利用课余时间创建了安全公司Lynx Security,专门为企业客户提供全面的渗透测试服务。

观看视频

看不到视频 点这里

采访实录

2018年,Corben曾发现了Nike官网的一个严重漏洞,可以利用OOB-XXE方式获取网站注册用户的敏感信息,并访问网站内部配置,进一步可形成远程代码执行。而当Corben向Nike上报该漏洞后,却迟迟没有收到回应,出于对漏洞隐患和用户信息的安全考虑,Corben联系了ZDNet对漏洞进行了部份曝光,以催促Nike方面及时修复漏洞。

“最早是如何接触到黑客技术的?”

高中一年级上课,学校在学生电脑上,配置了防火墙规则,限制我们上课时玩网络游戏、看YouTube和Netflix等在线视频。我比较反感,所以就利用课余时间,想办法尝试对电脑进行系统提权,之后成功删除了其中设置的防火墙规则,实现了自由使用电脑的目的,另外还帮助好多朋友也做了规则删除,后来因此在学校遭了处罚,但却因为这件事,让我电脑运行机制和黑客技术产生了莫大兴趣。

“你选择做白帽黑客的初心是什么?”

有多种原因,既有好奇的原因,也有挑战性的因素。我更多出于喜欢挑战性,就像解谜题一样需要创意,需要构思才能正解。所以做白帽黑客就像解题一样,非常有趣,可以和朋友合作,也可参加比赛,或是线上与别之合作,总之非常有意思。我本身非常喜欢思考和构造,所以我乐此不疲。

“发现漏洞时是什么感受?”

噢,我觉得第一次或是任何的漏洞发现,都是一件非常刺激的事,有肾上腺素飙升的感觉。如果和朋友一起的话,我会非常兴奋,我们会击掌庆祝;如果我是在家测试,我就会大声惊叹,哦…,总之非常兴奋,非常刺激。

“你如何理解黑客精神?你如何看待白帽黑客社区?”

我认为黑客是那些,在智力和创造力方面异于常人的人,他们总能想办法突破一些限制。作为其中的一份子,白帽社区就是我的世界。通过社区的相互交流,我在其中结交了好多朋友,能够以自己的白帽身份,和志趣相投的其他人,一起出去玩,一起研究感兴趣的事。

“用漏洞赏金购买过什么好物?”

我弟弟的一个好朋友过生日,我花费了300美金,买了一个他此前非常心仪的东西,送给他做生日礼物,给了他一个惊喜。因为他是我弟弟的高中好友,所以我就慷慨破费了。我从未看到他那么高兴,他脸上洋溢的笑容,表明他非常喜欢这个礼物。能让别人快乐,这就是我认为的好物。

“有需要感谢的白帽朋友吗?”

有很多很多,他们给了我支持和力量,像@notnaffy和@mlitchfield我从他们身上学到了很多东西,还有@rhynorater和@orange,和好多好多我要感谢的朋友。当然还要感谢白帽社区中的朋友,因为我们都互相帮助,并且都从各自身上学到了好多,相互取长补短,我在此对他们,对整个社区表示感谢。是我们每位白帽组成了社区,培育出了那种重要氛围。即使别人不这么认为,但至少对我来说,这种社区氛围意义非凡,它不仅仅是某几位朋友的帮助而已。

“收到过什么值得收藏的奖励物?”

哦… 我收到最好的奖励物,应该算是连帽卫衣吧。我个人非常喜欢穿卫衣,我记得当初我入行漏洞众测时,看到一些参加Twitter漏洞众测的黑客,他们在朋友圈分享了奖励的卫衣,我非常喜欢,我就想一定要得到一件,最终如愿以偿。所以,卫衣算是我喜欢的漏洞奖励物吧。

“你为什么选择在HackerOne平台参与漏洞众测?”

我对HackerOne的员工比较有好感,在这个平台他们都各司其职。他们既了解白帽社区,又服务于白帽社区。另外我还喜欢HackerOne上的测试项目,上面的厂商测试范围明确。所以这些都是我选择HackerOne的原因。

“对新手白帽有什么建议?”

我给白帽新手的一条建议就是,要坚持不懈不能放弃。我记得当初我刚开始入行漏洞众测时,感觉非常难,差点要放弃了。因为我那时什么都没发现,最后我选择了一个最简单的测试项目,并暗自给自己打气加油,最后我记得是用了将近五六个月才收获了第一笔赏金。当时我的上报漏洞,好多被评定为信息类和重复报 真是灰心,但经历过这些之后,才会守得云开见月明。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑Darry端,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK