HackerOne优秀白帽黑客采访系列-André Baptista

人物介绍

André Baptista（@0xACB），葡萄牙人，波尔图大学信息安全系特邀教授，波尔图电脑与系统工程研究院（INESC-PT）高级研究员，波尔图大学CTF战队ExtremeSTF队长，业余漏洞赏金猎人（Bug Bounty Hunter），喜欢二进制漏洞利用和逆向工程。

André是典型的由CTF选手转型Web挖洞的安全研究员，他曾在ShiftAppens 2014、 s3c|th0n Mobile Security Hackathon 2015、S3cthon CTF 2016和H1-702 Mobile 等多个地区性CTF竞技比赛中展露头角，并通过CTF比赛获得了HackerOne线下黑客马拉松大赛参赛资格。之后，于2018年3月，以一个价值$25,000美金的Shopify SSRF高危漏洞荣获H1-202大赛“最具价值黑客”称号（MVH）。也就在最近，André和他的团队，发现了Steam游戏客户端的一个远程代码执行（RCE）漏洞，以此得到了$18,000的奖励。

详细视频请见：https://v.qq.com/x/page/k0865glmnux.html

采访实录

两个高危大奖漏洞让André Baptista名震江湖，但他自己也坦言；“要挖到类似的漏洞非常难"。就拿他自己来说，由于此前一直参与的是CTF比赛，在2018年才真正接触到漏洞众测，所以还需要继续加强学习。

“我认为，CTF和漏洞众测是完全两个不同的领域，一个注重漏洞利用，一个注重漏洞挖掘，需要对这两个方向做到融会贯通才算得上是真正的高手。”

“你是如何接触到黑客技术的？”

当我在少年时期，我就接触了电脑并自学编程。有一天我从老爸的书架里，发现了一本编程书，之后我就幻想着能不能像电影里的演员那样，酷炫地操作电脑，所以我就开始了学习电脑技术。后来，慢慢参与了很多CTF竞技比赛，从中有了收获提高，真正到了2018年才正式开始做漏洞众测。

“和我们聊聊你在H1-202上获得的‘最具价值黑客’（MVH）？”

我第一次参与HackerOne的实时比赛，是2017年的拉斯维加斯，那是我此前从未有过的体验。当时我们共有三个目标系统，但我一无所获。由于我是从CTF转型过来的，CTF领域注重于，对某些软件程序的漏洞利用，意思就是，漏洞是实际存在的，只是利用过程有难度。当时来到拉斯维加斯参赛时，我没有任何漏洞众测经验，这是我第一次接触该领域，然后失败而归。但之后我又再次获得2018年度，在华盛顿举办的参赛资格，赛前我进行了很多有针对性的训练，期间还发现了我的第一个众测漏洞。因为我一直在测试Shopify上面的相关漏洞，所以，到了华盛顿之后，我又接着针对其功能特性和日常业务做了大量的分析测试，接着就发现了一个很不错的漏洞，它是一个影响系统的严重漏洞，极具隐患。所以最终我就凭借它赢得了MVH奖励，有点疯狂。有好多选手都发现了一些不错的漏洞，所以当我获得了MVH奖励时，我还有一些惊讶，因为我觉得其他人也可获此殊荣。最终我总结来看，还要得益于我测试时的创新思路，和我当时优异的临场发挥，才能发现该漏洞并最终赢得MVH荣誉。

“你是从CTF比赛中成长起来的，CTF对你后来的漏洞众测（Bug Bounty）有什么影响和帮助？”

我从CTF比赛和其相关的解题报告中学到了很多，没有CTF比赛中收获的经验，我也不可能发现得了某些高危漏洞。CTF和漏洞众测从本质上来说，还是存在一些区别，CTF注重对实际存在的漏洞利用，而漏洞众测则偏向于实战的漏洞挖掘。我认为，CTF和漏洞众测在技术是可以互补的两个领域，加强对这两个领域的训练可以切实提升个人黑客技术。另外，打CTF比赛过程中的刻苦钻研和废寝忘食，也让我形成了对技术坚持不懈的个性，这也是漏洞众测中必不可少的精神。

“对新手白帽有什么建议？”

对那些想入门漏洞众测的人来说，我建议还是要多多看书，多参加安全会议，汲取别人的演讲精华；多读漏洞报告（Writeups），Hackerone CTF的漏洞报告也不错，它们都是极佳的入门资源。可以多参加HackerOne上的CTF比赛，通过比赛可以像我一样获得线下赛资格。虽然CTF和漏洞众测两种性质不同，但你对它们都需要掌握。另外还有HackerOne推出的hacker101课程也非常不错，因为我曾在波尔图大学和我的CTF团队中讲授过，我也经常用其中的视频和相关资源进行教学，很多人都从中受益匪浅，当然了你也可以用它来自学。