前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >HackerOne优秀白帽黑客采访系列-André Baptista

HackerOne优秀白帽黑客采访系列-André Baptista

作者头像
FB客服
发布2019-05-15 09:13:44
7000
发布2019-05-15 09:13:44
举报
文章被收录于专栏:FreeBuf

人物介绍

André Baptista(@0xACB),葡萄牙人,波尔图大学信息安全系特邀教授,波尔图电脑与系统工程研究院(INESC-PT)高级研究员,波尔图大学CTF战队ExtremeSTF队长,业余漏洞赏金猎人(Bug Bounty Hunter),喜欢二进制漏洞利用和逆向工程。

André是典型的由CTF选手转型Web挖洞的安全研究员,他曾在ShiftAppens 2014、 s3c|th0n Mobile Security Hackathon 2015、S3cthon CTF 2016和H1-702 Mobile 等多个地区性CTF竞技比赛中展露头角,并通过CTF比赛获得了HackerOne线下黑客马拉松大赛参赛资格。之后,于2018年3月,以一个价值$25,000美金的Shopify SSRF高危漏洞荣获H1-202大赛“最具价值黑客”称号(MVH)。也就在最近,André和他的团队,发现了Steam游戏客户端的一个远程代码执行(RCE)漏洞,以此得到了$18,000的奖励。

详细视频请见:https://v.qq.com/x/page/k0865glmnux.html

采访实录

两个高危大奖漏洞让André Baptista名震江湖,但他自己也坦言;“要挖到类似的漏洞非常难"。就拿他自己来说,由于此前一直参与的是CTF比赛,在2018年才真正接触到漏洞众测,所以还需要继续加强学习。

“我认为,CTF和漏洞众测是完全两个不同的领域,一个注重漏洞利用,一个注重漏洞挖掘,需要对这两个方向做到融会贯通才算得上是真正的高手。”

“你是如何接触到黑客技术的?”

当我在少年时期,我就接触了电脑并自学编程。有一天我从老爸的书架里,发现了一本编程书,之后我就幻想着能不能像电影里的演员那样,酷炫地操作电脑,所以我就开始了学习电脑技术。后来,慢慢参与了很多CTF竞技比赛,从中有了收获提高,真正到了2018年才正式开始做漏洞众测。

“和我们聊聊你在H1-202上获得的‘最具价值黑客’(MVH)?”

我第一次参与HackerOne的实时比赛,是2017年的拉斯维加斯,那是我此前从未有过的体验。当时我们共有三个目标系统,但我一无所获。由于我是从CTF转型过来的,CTF领域注重于,对某些软件程序的漏洞利用,意思就是,漏洞是实际存在的,只是利用过程有难度。当时来到拉斯维加斯参赛时,我没有任何漏洞众测经验,这是我第一次接触该领域,然后失败而归。但之后我又再次获得2018年度,在华盛顿举办的参赛资格,赛前我进行了很多有针对性的训练,期间还发现了我的第一个众测漏洞。因为我一直在测试Shopify上面的相关漏洞,所以,到了华盛顿之后,我又接着针对其功能特性和日常业务做了大量的分析测试,接着就发现了一个很不错的漏洞,它是一个影响系统的严重漏洞,极具隐患。所以最终我就凭借它赢得了MVH奖励,有点疯狂。有好多选手都发现了一些不错的漏洞,所以当我获得了MVH奖励时,我还有一些惊讶,因为我觉得其他人也可获此殊荣。最终我总结来看,还要得益于我测试时的创新思路,和我当时优异的临场发挥,才能发现该漏洞并最终赢得MVH荣誉。

“你是从CTF比赛中成长起来的,CTF对你后来的漏洞众测(Bug Bounty)有什么影响和帮助?”

我从CTF比赛和其相关的解题报告中学到了很多,没有CTF比赛中收获的经验,我也不可能发现得了某些高危漏洞。CTF和漏洞众测从本质上来说,还是存在一些区别,CTF注重对实际存在的漏洞利用,而漏洞众测则偏向于实战的漏洞挖掘。我认为,CTF和漏洞众测在技术是可以互补的两个领域,加强对这两个领域的训练可以切实提升个人黑客技术。另外,打CTF比赛过程中的刻苦钻研和废寝忘食,也让我形成了对技术坚持不懈的个性,这也是漏洞众测中必不可少的精神。

“对新手白帽有什么建议?”

对那些想入门漏洞众测的人来说,我建议还是要多多看书,多参加安全会议,汲取别人的演讲精华;多读漏洞报告(Writeups),Hackerone CTF的漏洞报告也不错,它们都是极佳的入门资源。可以多参加HackerOne上的CTF比赛,通过比赛可以像我一样获得线下赛资格。虽然CTF和漏洞众测两种性质不同,但你对它们都需要掌握。另外还有HackerOne推出的hacker101课程也非常不错,因为我曾在波尔图大学和我的CTF团队中讲授过,我也经常用其中的视频和相关资源进行教学,很多人都从中受益匪浅,当然了你也可以用它来自学。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-05-07,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 人物介绍
  • 详细视频请见:https://v.qq.com/x/page/k0865glmnux.html
  • 采访实录
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档