DawnIsabel (@dki) 是一名令人鼓舞的iOS hacking 专家。她恰好是那种能发现周遭谜题并从解谜过程中获得快乐的人。她说,将几个看似无关的漏洞组合,拨开重重迷雾终于看见解决方案发出的光辉时,感到无比满足。闲暇之余,她喜欢编织、缝制、哼唱 Hamilton,并和孩子们一起玩最爱的棋盘游戏:Ticket to Ride、Wingspan或Azul。
A:我在这方面没啥想象力,所以就用了姓名的三个首字母。A:大学时我有一个非常喜欢的部门邮箱账户,但在度假时被黑了。我很沮丧,因为原以为自己已经做了所有该做的事儿确保账户的安全。之后我决定搞清楚账户到底是怎么被黑的,以避免下次再被黑。最开始我是一名开发工程师,我尝试搞清楚用什么办法可以黑掉我自己构建的东西。最终我被默认为“安全人”,因为当时(二零零几年)应用安全还不是大家关注的焦点。当我了解到企业中整个团队都专注于进攻性安全时,我知道那就是我想去的地方!Q:你hack的动力是什么?为什么会想到通过漏洞奖励计划hack for good?A:我一直很喜欢解谜题和调查工作。Hacking 就是一个大谜题——你知道自己想要达到的目标当时不知道应该采取什么措施。将看似无关的漏洞组合起来造成严重影响并达成目标让我感受到巨大的满足感!向利益相关者演示我如何 exploit 并告诉他们如何修复可能是最有成就感的地方。解决了别人的难题,知道自己为一些人连点成线,让他们成为更强大的防御者,是一种非常棒的感觉。A:成果和自己有关联的漏洞奖励计划最让我激动。当我已经在用某款应用程序并对功能和用户威胁模型有深入了解时,我能更好地 exploit。A:我始终认为漏洞奖励计划的积极活跃的参与会带来很多变化。当我感到自己和计划之间是合作伙伴关系,合力保护资产安全时,让人动力倍增。A:我一次尝试关注一个计划,主要是因为我时间有限而且不想有太大压力。即使是在一个漏洞奖励计划下,我也尽力选择一个焦点,而不是一次关注所有。Q:你如何根据漏洞奖励计划决定先查找哪种漏洞类型?A:我通常会选择想要了解或实践exploit的漏洞,这样即使我没有发现任何东西,也仍然学到了东西,增长了技能点。A:我通过推特获取安全相关资讯。跟进会议讨论也是发现最新技术和漏洞的好办法。Q:有哪些是你希望公司在设立漏洞奖励计划前就想清楚的?A:“设立并忘记”式的漏洞奖励计划要不得。有效的漏洞奖励计划需要时间和精力的投入,从现实角度预测精力投入并确保你有足够的资源可以投入计划。Q:你如何看待漏洞奖励计划在未来5到10年的发展?A:我认为我们将会看到更多的长期的漏洞奖励团队努力,这样就会出现很多工具,支持分布式漏洞奖励计划。A:随着涌现出更多的团队,黑客平台内部很可能会产生基于团队的指标需求。这些指标一旦发现,那么出现某些漏洞奖励计划希望将团队作为整体参加非公开计划的情况就不令人惊讶了。可能会有由高质量黑客组成的组织出现,他们具有已经证实的和他人协作的记录,那么将会变得十分强大。A:最让我感恩的是@randomdeduction,她一直都在鼓励着我支持着我。我还常常受到 @InsiderPhD 的鼓舞,他创建了如此多很有价值的内容,在相对短的时间里支持着很多人!同时非常感谢 Syndicate 公司的团队伙伴 @c0rv4x 和 @adxchapman,和他们在一起工作让我受益良多。Q:你希望但目前尚不存在的教育性的 hacking 资源有哪些?A:我感兴趣的领域是 iOS 应用程序hacking,我希望能够降低黑客和研究员新手的入行门槛。在没有物理设备和Mac的前提下学习 iOS 应用程序安全仍然很困难,对于很多人来说这是一个重大的障碍因素。A:从和你截然相反的人身上学习。攻击活动通常利用的是我们的盲点——也就是我们看不到的地方;我们永远不会怀疑的骗术。从具有完全不同的威胁模型的其他人的视角看问题,会让你成为更好的黑客和防御者。
https://www.hackerone.com/blog/hacker-spotlight-interview-dki
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~