HackerOne优秀白帽黑客采访系列：John Colston

人物介绍

作为商业战略咨询公司Colston Co LLC的创始人，John Colston (@mayonaise)选择兼职做白帽黑客更多的是为了挑战自己。而在此前，John Colston一直深耕于数据科学领域，他毕业于佐治亚理工学院获得了管理营销和信息技术的理科学士，并在TransUnion、Atlanticus、Speedwell Holdings和Direct Edge Brands等多家市场营销和信息服务公司担任项目经理。

自2018年接触了漏洞众测之后，John Colston就一发不可收拾，被Hacking技术深深吸引，经常花大量时间进行漏洞分析测试，仅用了一年多，他就在HackerOne平台发现了130多个有效漏洞。John Colston给新手的建议是：数据是无价的、要学会勤动手记笔记。

观看视频

采访实录

“你是如何接触到黑客技术？”

我一直专注于数据科学领域，曾做过创业者也当过勤奋的打工者，因为各种机缘巧合，促使我接触到了HackerOne。曾经在我深深考虑自己商业的那段时期，当时我投入了大量精力，去创建自己的商业模式，但后期经历了一些停滞，基本闲了下来，我又是一个热爱学习的人，刚好白帽黑客这个行当又能大有所学，非常有意思，此前看过一些黑客纪录片，觉得非常非常酷，之后努力发现了第一个漏洞，是一个高危漏洞，非常刺激，从此一发不可收拾。之后参加了2018年8月的漏洞测试项目，然后又在12月再接再厉。在这条探险之旅中我只算个小人物，但其奇妙性却深深吸引着我往前。

“漏洞众测对你的生活方式有什么改变？”

一直都是长时间的分析测试，只不过现在大多数时间都是在家里来做测试，感觉就是停不下来，得花大量时间，而且后期我得学会，去很好的平衡工作和生活，也要适当学会给自己放松一下。我漏洞测试当成一项业务来看，因为我觉得个人资源有限，需要有效地利用现有资源，所以即使没有发现漏洞我也不会灰心。因为我有自己的一个测试规划，就比如某几天我只专做探测 其它的都不做，这几天我会建立一些数据集，某些天我又只做某种类型漏洞的测试分析。我这些计划前后都是关联的，就比如拿越权漏洞（IDOR）来说，我可能会去分别测试其中的Swagger和WADL等文件或相关页面，而且我还有整理记录的习惯，即使在测试过程中遇到一些无关却有意思的知识点，我也会把它们记录下来，以备回头查阅，但我的专注点和规划不会变，所以每天我都会在不同的知识点中切换，新学的东西或记录的东西，每天都能有所收获。因为这种漏洞发现过程较慢，其他人可能会因此灰心，但换一种角度来看却能从中发现新的东西，下次再遇到类似问题时，你就会得心应手，因为此前你已经熟记于心了，所以这就好比如果此前你没有深入研究过该问题，此时遇到就像一个重置按钮，你还得退回去像第一次遇到那样，花四五天时间研究分析。

“一路走来有值得感谢的人吗？”

当然是我的老婆，她是一名骑警，她非常支持我做白帽黑客，我们都经常工作到深夜。我还和她说这就是黑客生活模式，因为我们没有太多生活规划，想去哪里就去哪里，吃住行都很随心，想想确实有些随意。我甚至觉得自己不够负责，但确实我们都没时间安排，所以也最大程度让彼此能有一些自由空间，但我们也经历了压力，经历了冷战和口角，所以我真心感谢老婆雪琳。

“对白帽新手们有什么建议？”

要学会记录保存你的学习和测试数据，数据是无价的，曾有很多次当我遇到某些问题时，感觉它可以形成漏洞，我就记得这似曾相识，然后我回头去查阅我的日志记录，就能从中发现很多相似实例，或其它应用端曾存在类似漏洞。每次这样都很好，当我遇到瓶颈，找不到方向时，突然回想起此前的一些记录，这样就柳暗花明，马上有了测试思路和方向。就像高中辅导员加勒特曾和我说的，从职业角度来说，黑客对于我而言是一个很好的转变，虽然这不是一个稳定的行当，但是这也说明了其新兴性。大多数人可能做着编程写代码的工作，或是我曾经干的数据分析师工作，他们都具备很大的数据集优势，可以对这些数据进行深入利用，只不过我们需要变换思路来发现安全问题，而且安全是一个不同学科，就像我们经常遇到的某些人信用卡的默认消费设置风险，或是信用卡的20天还款缓冲期等等，类似我们生活中会经常遇到有疑问且希望去弄明白的问题，这些问题就相当于你发现一个疑似CSRF漏洞，可以从URL地址或是网络抓包中修改请求或关注点，深入细致地去分析细微，发现异常，一有所获便可深入研究。

*本课程翻译自Youtube精选系列教程，喜欢的点一波关注（每周更新）！

* 本文视频编辑willhuang，由clouds 编译，FreeBuf视频组荣誉出品，转载须注明来自FreeBuf.COM