【FreeBuf字幕组】HackerOne优秀白帽黑客采访系列：Zhi Wei Eugene

人物介绍

Zhi Wei Eugene（ @spaceraccoon ），24岁新加坡人，2018年毕业于耶鲁大学计算机系和历史系，现服役于新加坡武装部队通信指挥连，拥有OSWE（Offensive Security Web Expert）和高级React认证，并持续在Udacity和Hacker101完成了全栈Web开发课程和Web CTF学习， Zhi Wei Eugene 具备流利的中文、英文和马来语听说能力，在HackerOne平台上报的有效漏洞为174个。

2019年8月，Zhi Wei Eugene发现了星巴克网站的一个SQL注入漏洞，通过该漏洞可以获取星巴克内部包括税收、收据和工资信息在内的所有财务数据，收获了$4,000奖励；2019年10月，在新加坡政府和HackerOne合作的漏洞众测比赛中，发现了9个新加坡政府网站漏洞，囊获了US$8,500美金的奖励；2019年11月，Hackerone与美国空军、英国国防部和Verizon Media于洛杉矶举办了H1-213比赛，发现某高危漏洞获得了最具价值黑客荣誉（MVH）。非常热爱学习，并热衷于应用安全和用户数据安全方面的研究。

观看视频

采访实录

“最早你是如何接触到黑客技术的？”

这缘于新加坡新加坡政府科技局（GovTech），因为我是新加坡人，新加坡政府科技局和网络安全局有合作，他们当时举办了一个漏洞众测项目，我也就参赛了，上报了一个漏洞被评定为重复报，有点失望，但我下定决心之后要好好表现。所以自此我加入了hacker101，在线随老师Cody Brocious做完了所有的CTF题目，钻研了所有我想学习的技术，三个月后我收获了人生中的第一笔漏洞赏金，第二个月又什么都没发现，但之后每个月都有所收获，慢慢开始有起色，所以我希望自己能，继续坚持保持动力。

“发现漏洞时是什么感受？”

太美妙了，呵呵，因为我还是一名应征服役的士兵，平时没太多时间做漏洞测试，只会在每周末回家的日子，有三个晚上自由时间才能摆弄电脑，那个时候我就会想，多去以不同角度测试一些不同漏洞，若一有发现，那种感觉非常开心。因为每晚我只有不到三小时的时间，如果能发现漏洞，确实对自己的白帽之路是种鼓励。

“用漏洞赏金购买过什么好物？”

我觉得我用赏金买过的好物应该是……，它给了我一些自由支配空间，我是一个有同情心的人，我把它捐献给了我国的一个爱心组织，以此去鼓励更多的人学习科技知识，比如一些未得到充分代表的人群和少数民族。这只是我尽我的绵薄之力而已，但我知道好多白帽非常慷慨，他们更愿意出钱出力去帮助那些有才的后起之秀，让他们能投身于网络安全行业。

“你如何保持动力？”

做为一名士兵，服从纪律就是天职，但是平时我又时间有限，只有在周末或是节假日回家才能做漏洞测试，所以我必须充分运用空闲时间，如果选定了一个测试目标，就会坚持一步步开展，我觉得这种良好的自律习惯也是我在部队学习养成的。

“你为什么选择HackerOne平台做众测？”

一开始是因为hacker101的缘故，我是由它而认识了HackerOne平台的，虽然我注册了其它众测平台，但hacker101能让我直接关联到HackerOne平台，而且在我完成了所有的在线CTF题目后，它还会推送一些HackerOne的邀请测试给我，所以从那个时候起我就认定HackerOne平台了。

“做漏洞测试遇到过什么好运？”

因为我的第一个有效漏洞是IDOR类型，我一直感觉我与IDOR漏洞比较有缘，这种感觉就像大多数白帽黑客各自擅长于发现某些漏洞类型一样，由于IDOR漏洞是我的第一个有效漏洞，至少我认为它是开启我漏洞测试的一个转折点吧。

“对新手白帽有什么好的建议？”

我只想说的是，漏洞众测社区的力量非常强大，做为个人来说不要闭门造车，在自我学习钻研的同时，你还可以借助社区力量，比如多学习学习hecker101资源，去Twitter浏览安全信息，遇到问题多与其他同行交流学习，我认为大多数人都会乐于伸出援手帮助别人的。

*本课程翻译自Youtube精选系列教程，喜欢的点一波关注（每周更新）！

* 本文视频编辑willhuang，由clouds 编译，FreeBuf视频组荣誉出品，转载须注明来自FreeBuf.COM