沙场白帽老兵聊未来的挖洞方向及其它

Q：你的用户名由来是什么？

A：很长时间以来我打游戏时都在使用这个化名。过去，安全圈子的人试图通过化名来隐藏自己的身份。即使在 HackerOne 平台上，我原来的用户名是 “nagafen”。它源自 Lord Nagafen，是我从小到大都喜欢玩的游戏 MMORPG EverQuest 中一条龙的名字。最后，我意识到自己不必在 HackerOne 上隐藏自己的身份，于是就改为 “ziot”。因为现在安全圈子的认可度越来越高，而 “hacker” 这个词也不再那么令人害怕了，在一些社交媒体平台我甚至都开始使用 “bbuerhaus” 的昵称了。

Q：你是如何发现 hacking 的？

A：我主要是从 hosting 论坛和观看别人 exploit 视频游戏发现 hacking 和安全世界的。很多时候我敬畏那些只通过一款软件就能做很多事情、绕过所收到的规则并可让软件听命的情况。

学习编程和必须修复论坛漏洞的经历让我很想自己发现这些漏洞。随着时间的推移，我开始学习如何识别这些问题并利用它们。

我还跟别人说，最开始的时候，我还参加了夺旗、Alternate Reality Games 和解谜等活动。有时，这些事情和安全并非直接相关，但其中的思维是一致的。你需要解构一个一个困难并找到达到最终目标的方法。

虽然这么说俗了点，但在一些情况下，hacking 就是一种心态——它是认识事物的一种方法。

得到一份专业的安全工作、咨询经历以及参加漏洞奖励计划为我将hacking 流程化了。虽然具有这样的成熟度和流程化，但热情和动力仍然是我的底色。

Q：你 hack 的动力是什么以及为何通过漏洞奖励计划 hack for good？

A：长期以来，我会说一直是好奇心和想要学习新东西的欲望支撑着我 hacking。但随着年岁渐长，我认为钱给了我足够的动力。可以说有些漏洞奖励计划我是永远不去碰的，除非我想要提出帮助或者受其它因素如好奇心的驱动。

例如，我为 HackerOne 平台上的一个非公开漏洞奖励计划提交了100多个漏洞，而我开始为它提交的时候，它甚至都没有设立漏洞奖励计划或者颁发奖励金。我在业余时间做这件事，我对它们的关注和好奇心各占一半原因，但实际上只是想要挑战自己。

Q：何种漏洞奖励计划会让人兴奋？

A：涵盖范围广、功能有意思、出手大方的漏洞奖励计划。涵盖范围更小也可令人兴奋，但前提是这些范围是新的或者有意思的。

Q：你取舍漏洞奖励计划的条件是什么？

A：如果我认为自己真的在提供帮助且得到认可的话，我会继续参加漏洞奖励计划。和安全团队沟通耗时漫长。有些漏洞奖励计划在这方面的效率很高，我大部分的时间都花在了hacking 上。

如果响应速度慢、彼此之间的分歧无法解决以及让我感觉不到自己是在做贡献的大企业风气都是我放弃参加的原因。如果我的漏洞报告只是为了是实现你的合规而我仅仅是一个指标数字，那为何要浪费彼此的时间？这种情况下能吸引我的唯一一点就是丰厚的奖金了。

在多年 hacking 和提交数百份漏洞报告的经历中，只有一些漏洞奖励计划给我发送了手写的感谢信，还有个漏洞奖励计划发给我一个节日卡。虽然黑客数千个，而我没有那么重要，但于我而言它很特殊，意义重大。

Q：你每次会关注多少个漏洞奖励计划？为什么？

A：这个问题不好回答。在任何时间内，我都只专注于一个目标。但意思可能是中午花了几个小时看这个目标，但半夜的时候我又转向另外一个目标。我建了一个安全文件夹，里面有100多个文件夹，每个文件夹对应一个目标。其中一些包含数 GB 的侦察数据、js 文件、备注等。我不会做做大规模的侦察和 exploit，向100多个厂家提交相同的漏洞。我喜欢一次专注一个目标。

Q：你如何根据漏洞奖励计划排列挖洞优先级呢？

A：我参加漏洞奖励计划的第一步是查看目标存在哪些功能。例如，如果我发现它们具有通过用户输入可以生成 PDF 的功能，那么我就会查找 PDF 类型的漏洞。

其余的时间就按流程走了。我会遍历 JS 文件和端点，之后查看标头和响应。它看起来是否像软件/CMS 如 Wordpress 或 Drupal？它是否为自定义构建的应用程序？出错信息是否能够帮助我识别出它们的构建语言？通过搜索和模糊测试，通常就会找到这些问题的答案。

此时，我就会查找特定于这些最初结果的漏洞。

所以，流程并没有像听起来那样复杂。很难用语言说明思考的方式和做这些事情的方式。可能主要是基于以往经验的人类直觉？如果我看一个端点，那么我就会尝试那些我认为会起作用的攻击并根据响应随时调整。

Q：你如何跟踪最新的漏洞趋势？

A：在过去几年，我认为推特在这方面做得很好。虽然一直都有人对我说他们不了解推特，但对于我个人而言，它是了解安全态势的绝佳工具。

Q：你希望每家公司在设立漏洞奖励计划前应该首先了解哪些东西？

A：1、分配专人研究和管理漏洞奖励计划。让他们参考其它漏洞奖励计划，吸取经验教训，之后再谈设立计划。他们可以提供一些有价值的见解，帮助你更好地启动计划。已设立漏洞奖励计划的公司已有多年经验，我真心认为这些公司会很乐意和你分享。

2、 不要一开始就设立对外公开的漏洞奖励计划。有很多人只是为了赚快钱或者缺乏经验。他们提交的报告很糟糕，很快就会让你筋疲力尽。先从非公开计划开始，邀请少数厉害的漏洞猎人，可以增加几个随机名额但比例要低。设置流程，在你认为自己可以管理的情况下逐步加人。

3、 漏洞奖励计划是安全武器库的一部分，并非安全本身。漏洞奖励计划虽然引人注意但你在考虑设立之前就要了解你所在组织机构的需求。有时只需要内部的应用安全员工或渗透测试人员就足够了。你可能甚至需要产品经理管理漏洞报告的处理流程。或者你需要更强大的工程投入来管理漏洞修复的额外工作。因为我很喜欢亲自研究易受攻击的产品并赚取奖金，因此我宁愿参加一个稳定的而不是因为无法管理或者预算不足在一周之内就挂掉的漏洞奖励计划。

4、 在涉足漏洞奖励计划之前先做好渗透测试。这样你会对安全面、容易挖掘的漏洞有一个大概的了解，而且你可以更好地了解内部漏洞管理的流程。如果在这个流程中出现任何问题或障碍，说明你还没有准备好设立漏洞奖励计划。

Q：你如何看待未来5到10年漏洞奖励计划的发展？

A：现在很多漏洞奖励计划是关于 Web 的，我认为最终浏览器会变得更突出，超过很多这类易于挖到的漏洞。到时候易于挖掘的漏洞会变得少很多，重点将放在有意思的漏洞链上。

现在，Hacking 资源、培训和工具唾手可得，不再局限于一个圈子，你也不需要自造轮子。这会让很多人涌入安全行业。我认为这也将导致漏洞奖励计划达到饱和的状态。

随着漏洞奖励计划变得越来越饱和，奖金也会变得越来越高，但挖洞难度也会越来越大，导致挖到的漏洞越来越少。在其它情况下，可能会导致更多的噪音和更低的奖金。

随着越来越多的公司设立漏洞奖励计划，留住黑客的注意力将变得越来越难。我认为它们必须要利用更新颖的方式激励黑客，而不仅仅是现金奖励。

不管是否饱和，各类平台也必须找到激励黑客的方式，如果它们想要留住客户的华。最后可能会达到这样一个点：黑客将不再免费挖洞。

Q：你在安全社区的导师和偶像是谁？

A：我的贵人是 NahamSec。他是安全社区的黑客楷模。他是我多年的老友。如果没有他的鼓励，我很可能没有信心做 Live Hacking Events 活动。

Q：有哪些教育类 hacking 资源是你希望有但今天还没出现的？

A：实话说，这个问题我回答不好。在我的成长过程中我们几乎没有任何资源，很多资源是残缺不全或很糟糕的。但现在有海量的资源等着你。

Q：你对下一代黑客的建议是什么？

A：不要掉进钱眼里。否则，你会感到失望且筋疲力尽。这个行业有很多钱，而漏洞奖励金是遍地撒钱的最大罪魁祸首之一。

我加入游戏公司的目的并非进入安全行业，因为游戏只是我的一个爱好。最终我发现了我真正的热情所在，于是全身心投入安全。

如果你热爱安全并且热爱它，那么钱自然而然会来。

如果你很晚还在 hacking 某个计划、编写代码、做游戏、或者在做你所热爱的但不明白为何会这样。那么这就是你应该毕生追求的东西。不要被他人对你干涉过多。做自己。专注于你想要做的事。求知若饥，坚持不懈。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。