【FreeBuf字幕组】HackerOne优秀白帽黑客采访系列：Iordache Cosmin

人物介绍

Iordache Cosmin，@inhibitor181，罗马尼亚人。Cosmin在2017年开始做漏洞众测，并于去年转向全职Bug Hunter（漏洞赏金猎人），他曾于2017年发现了Atlassian Bamboo 5.x版本的高危RCE漏洞（CVE-2017-8907 ）。

今年4月份，在新加坡的H1-65黑客马拉松大赛中，Cosmin荣获了有最高声誉的The Exalted和最高影响力的The Assassin称号，一举把$33,000美金的漏洞赏金收入囊中；在最近7月于伦敦举办的H1-4420中，Cosmin再次荣获了The Assassin称号。目前，Cosmin在HackerOne上的有效上报漏洞为235个，排名第53。

观看视频

看不到视频 点这里

采访实录

采访中，Cosmin表示他在漏洞测试前会对目标应用进行研究分析，区分出一些重要功能和关键组件，然后据此制订出一套相对全面的测试计划，从点到面、至小及大、由浅入深地去发现目标应用的高危漏洞。

“给大家简单介绍一下你自己？”

大家好我叫Cosmin，来自罗马尼亚，长住德国。2017年开始做漏洞众测，去年5月转向全职众测。

“能我们聊聊H165黑客大赛吗？”

这是一个黑客赛事，来了很多大牛黑客，我们团队协作或单独测试去发现漏洞或风险隐患，以赢得相应的赏金，最终也会评选出最佳漏洞。非常荣幸能参加这种顶级赛事，非常享受这次新加坡之旅，非常棒。

“那能和我们聊聊漏洞测试的目标系统吗？”

当然，目标测试系统是厂商Dropbox和它相关的一些供应商系统，都是些非常难的系统 安全措施非常到位，面对这样厉害的厂商安全团队，大家都非常期待能在这种比赛中有所突破。

“在比赛中见识到了什么有意思的入侵测试手段或有趣的漏洞？”

在‘展示讲述环节’的，挑战性难点和最佳漏洞演示过程中，我对@fransrosen的演讲印象深刻，因为他发现的漏洞非常不一般，由于还未披露所以原谅我不能过多透露，但能听到他对具体漏洞的挖掘思路和相关组合利用的实质分析，对我来说收获颇多。确实也发现了一个有意思的漏洞，因为一开始发现其前半部分的时候，由于我对目标应用了解还不够多，所以我只好把它记录下来了。随着对目标应用的熟悉了解，我又发现了另外一个能与之组合利用的漏洞，实现了完整的漏洞组合利用，形成了有效的攻击测试链。

“有没有那种想尽办法但最后却一无所获的情况？怎样长期维持兴奋的状态？”

是的，我真的想去发现一个高危漏洞或系统风险问题，最终也无能为力，这种起伏也很正常。通常我会在测试某个目标之前制订好计划，之后会仔细去了解目标应用，重点关注一些特定组件和重要部份，先不管其它的，直到不能在其中发现漏洞，我才会转移目标去关注其它组件部份，最后会逐一对那些组件进行测试分析。

“你向别人介绍自己的工作时，他们会不会难以理解？”

是的，因为去解释整个我的工作模式，稍显费力和难懂，所以我大多数朋友甚至家人，实际上并不知道我在干什么，只知道我老是对着电脑，猜想我还可以，他们认为我可能在编程或测试，但其实并不是。

“你的动力来源是什么？”

还好我妻子理解我的工作，在我陷入难点沉迷其中的时候，她总能忍受我坚持不懈的精神，她会不打扰我在背后默默支持我，另外白帽社区也是一个支持因素，因为在其中有我崇拜的人，我为向成为那样的人而不断努力至少对我来说是这样的。

“你已经是HackerOne中一员了，可能有人也很崇拜你，对新手白帽有什么建议？”

但愿我能激发到一些人，因为就我来说，我在2017年下半年才取得很大的提高和进步，慢慢与其它大牛缩小差距，但曾经我甚至不知道HackerOne的存在，就像16岁时不知道Mac操作系统是苹果公司的一样。我觉得非常重要的是，要学会去了解目标应用，阅读开发文档并制订你自己的测试计划，但要有个主次重点，多把心思放在重点部份，再结合自己擅长的技术，去按你的感觉发现东西。反正多投入时间学习动手，最后肯定会成功。

“这是你第二次参加这种实时黑客大赛，此次比赛你非常努力表现抢眼，实现此前别人从没有过的成绩，你分别囊获了代表比赛最高声誉的The Exalted称号，和最高影响力的The Assassin称号，这充分说明了你的辛勤付出，实至名归，对此你有何感想？”

当然我很开心，既惊讶又感叹，刚开始我只知道是一个奖励称号，因为比赛结果是公开的，但The Assassin称号我完全没想到，非常惊讶，我也不知道说什么了，真的，太美妙了。

*本课程翻译自Youtube精选系列教程，喜欢的点一波关注（每周更新）！

* 本文视频编辑willhuang，由clouds 编译，FreeBuf视频组荣誉出品，转载须注明来自FreeBuf.COM