【FreeBuf字幕组】HackerOne优秀白帽黑客采访系列:Zhi Wei Eugene

栏目: IT技术 · 发布时间: 4年前

内容简介:Zhi Wei Eugene(2019年8月,Zhi Wei Eugene发现了星巴克网站的一个SQL注入漏洞,通过该漏洞可以获取星巴克内部包括税收、收据和工资信息在内的所有财务数据,收获了$4,000奖励;2019年10月,在新加坡政府和HackerOne合作的漏洞众测比赛中,发现了9个新加坡政府网站漏洞,囊获了US$8,500美金的奖励;2019年11月,Hackerone与美国空军、英国国防部和Verizon Media于洛杉矶举办了H1-213比赛,发现某高危漏洞获得了最具价值黑客荣誉(MVH)。非

人物介绍

Zhi Wei Eugene( @spaceraccoon ),24岁新加坡人,2018年毕业于耶鲁大学计算机系和历史系,现服役于新加坡武装部队通信指挥连,拥有OSWE(Offensive Security Web Expert)和高级React认证,并持续在Udacity和Hacker101完成了全栈Web开发课程和Web CTF学习, Zhi Wei Eugene 具备流利的中文、英文和马来语听说能力,在HackerOne平台上报的有效漏洞为174个。

2019年8月,Zhi Wei Eugene发现了星巴克网站的一个 SQL 注入漏洞,通过该漏洞可以获取星巴克内部包括税收、收据和工资信息在内的所有财务数据,收获了$4,000奖励;2019年10月,在新加坡政府和HackerOne合作的漏洞众测比赛中,发现了9个新加坡政府网站漏洞,囊获了US$8,500美金的奖励;2019年11月,Hackerone与美国空军、英国国防部和Verizon Media于洛杉矶举办了H1-213比赛,发现某高危漏洞获得了最具价值黑客荣誉(MVH)。非常热爱学习,并热衷于应用安全和用户数据安全方面的研究。

观看视频

采访实录

“最早你是如何接触到黑客技术的?”

这缘于新加坡新加坡政府科技局(GovTech),因为我是新加坡人,新加坡政府科技局和网络安全局有合作,他们当时举办了一个漏洞众测项目,我也就参赛了,上报了一个漏洞被评定为重复报,有点失望,但我下定决心之后要好好表现。所以自此我加入了hacker101,在线随老师Cody Brocious做完了所有的CTF题目,钻研了所有我想学习的技术,三个月后我收获了人生中的第一笔漏洞赏金,第二个月又什么都没发现,但之后每个月都有所收获,慢慢开始有起色,所以我希望自己能,继续坚持保持动力。

“发现漏洞时是什么感受?”

太美妙了,呵呵,因为我还是一名应征服役的士兵,平时没太多时间做漏洞测试,只会在每周末回家的日子,有三个晚上自由时间才能摆弄电脑,那个时候我就会想,多去以不同角度测试一些不同漏洞,若一有发现,那种感觉非常开心。因为每晚我只有不到三小时的时间,如果能发现漏洞,确实对自己的白帽之路是种鼓励。

“用漏洞赏金购买过什么好物?”

我觉得我用赏金买过的好物应该是……,它给了我一些自由支配空间,我是一个有同情心的人,我把它捐献给了我国的一个爱心组织,以此去鼓励更多的人学习科技知识,比如一些未得到充分代表的人群和少数民族。这只是我尽我的绵薄之力而已,但我知道好多白帽非常慷慨,他们更愿意出钱出力去帮助那些有才的后起之秀,让他们能投身于网络安全行业。

“你如何保持动力?”

做为一名士兵,服从纪律就是天职,但是平时我又时间有限,只有在周末或是节假日回家才能做漏洞测试,所以我必须充分运用空闲时间,如果选定了一个测试目标,就会坚持一步步开展,我觉得这种良好的自律习惯也是我在部队学习养成的。

“你为什么选择HackerOne平台做众测?”

一开始是因为hacker101的缘故,我是由它而认识了HackerOne平台的,虽然我注册了其它众测平台,但hacker101能让我直接关联到HackerOne平台,而且在我完成了所有的在线CTF题目后,它还会推送一些HackerOne的邀请测试给我,所以从那个时候起我就认定HackerOne平台了。

“做漏洞测试遇到过什么好运?”

因为我的第一个有效漏洞是IDOR类型,我一直感觉我与IDOR漏洞比较有缘,这种感觉就像大多数白帽黑客各自擅长于发现某些漏洞类型一样,由于IDOR漏洞是我的第一个有效漏洞,至少我认为它是开启我漏洞测试的一个转折点吧。

“对新手白帽有什么好的建议?”

我只想说的是,漏洞众测社区的力量非常强大,做为个人来说不要闭门造车,在自我学习钻研的同时,你还可以借助社区力量,比如多学习学习hecker101资源,去Twitter浏览安全信息,遇到问题多与其他同行交流学习,我认为大多数人都会乐于伸出援手帮助别人的。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

程序员面试宝典(第5版)

程序员面试宝典(第5版)

欧立奇、刘洋、段韬 / 电子工业出版社 / 2015-10 / 55.00

容提要 《程序员面试宝典(第5版)》是《程序员面试宝典》的第5 版,在保留第4 版的数据结构、面向对象、程序设计等主干的基础上,修正了前4 版近40 处错误,解释清楚一些读者提出的问题,并使用各大IT 公司及相关企业最新面试题(2014-2015)替换和补充原内容,以反映自第4 版以来两年多的时间内所发生的变化。 《程序员面试宝典(第5版)》取材于各大公司面试真题(笔试、口试、电话面试......一起来看看 《程序员面试宝典(第5版)》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

MD5 加密
MD5 加密

MD5 加密工具