【FreeBuf字幕组】HackerOne优秀白帽黑客采访系列:Zhi Wei Eugene

栏目: IT技术 · 发布时间: 4年前

内容简介:Zhi Wei Eugene(2019年8月,Zhi Wei Eugene发现了星巴克网站的一个SQL注入漏洞,通过该漏洞可以获取星巴克内部包括税收、收据和工资信息在内的所有财务数据,收获了$4,000奖励;2019年10月,在新加坡政府和HackerOne合作的漏洞众测比赛中,发现了9个新加坡政府网站漏洞,囊获了US$8,500美金的奖励;2019年11月,Hackerone与美国空军、英国国防部和Verizon Media于洛杉矶举办了H1-213比赛,发现某高危漏洞获得了最具价值黑客荣誉(MVH)。非

人物介绍

Zhi Wei Eugene( @spaceraccoon ),24岁新加坡人,2018年毕业于耶鲁大学计算机系和历史系,现服役于新加坡武装部队通信指挥连,拥有OSWE(Offensive Security Web Expert)和高级React认证,并持续在Udacity和Hacker101完成了全栈Web开发课程和Web CTF学习, Zhi Wei Eugene 具备流利的中文、英文和马来语听说能力,在HackerOne平台上报的有效漏洞为174个。

2019年8月,Zhi Wei Eugene发现了星巴克网站的一个 SQL 注入漏洞,通过该漏洞可以获取星巴克内部包括税收、收据和工资信息在内的所有财务数据,收获了$4,000奖励;2019年10月,在新加坡政府和HackerOne合作的漏洞众测比赛中,发现了9个新加坡政府网站漏洞,囊获了US$8,500美金的奖励;2019年11月,Hackerone与美国空军、英国国防部和Verizon Media于洛杉矶举办了H1-213比赛,发现某高危漏洞获得了最具价值黑客荣誉(MVH)。非常热爱学习,并热衷于应用安全和用户数据安全方面的研究。

观看视频

采访实录

“最早你是如何接触到黑客技术的?”

这缘于新加坡新加坡政府科技局(GovTech),因为我是新加坡人,新加坡政府科技局和网络安全局有合作,他们当时举办了一个漏洞众测项目,我也就参赛了,上报了一个漏洞被评定为重复报,有点失望,但我下定决心之后要好好表现。所以自此我加入了hacker101,在线随老师Cody Brocious做完了所有的CTF题目,钻研了所有我想学习的技术,三个月后我收获了人生中的第一笔漏洞赏金,第二个月又什么都没发现,但之后每个月都有所收获,慢慢开始有起色,所以我希望自己能,继续坚持保持动力。

“发现漏洞时是什么感受?”

太美妙了,呵呵,因为我还是一名应征服役的士兵,平时没太多时间做漏洞测试,只会在每周末回家的日子,有三个晚上自由时间才能摆弄电脑,那个时候我就会想,多去以不同角度测试一些不同漏洞,若一有发现,那种感觉非常开心。因为每晚我只有不到三小时的时间,如果能发现漏洞,确实对自己的白帽之路是种鼓励。

“用漏洞赏金购买过什么好物?”

我觉得我用赏金买过的好物应该是……,它给了我一些自由支配空间,我是一个有同情心的人,我把它捐献给了我国的一个爱心组织,以此去鼓励更多的人学习科技知识,比如一些未得到充分代表的人群和少数民族。这只是我尽我的绵薄之力而已,但我知道好多白帽非常慷慨,他们更愿意出钱出力去帮助那些有才的后起之秀,让他们能投身于网络安全行业。

“你如何保持动力?”

做为一名士兵,服从纪律就是天职,但是平时我又时间有限,只有在周末或是节假日回家才能做漏洞测试,所以我必须充分运用空闲时间,如果选定了一个测试目标,就会坚持一步步开展,我觉得这种良好的自律习惯也是我在部队学习养成的。

“你为什么选择HackerOne平台做众测?”

一开始是因为hacker101的缘故,我是由它而认识了HackerOne平台的,虽然我注册了其它众测平台,但hacker101能让我直接关联到HackerOne平台,而且在我完成了所有的在线CTF题目后,它还会推送一些HackerOne的邀请测试给我,所以从那个时候起我就认定HackerOne平台了。

“做漏洞测试遇到过什么好运?”

因为我的第一个有效漏洞是IDOR类型,我一直感觉我与IDOR漏洞比较有缘,这种感觉就像大多数白帽黑客各自擅长于发现某些漏洞类型一样,由于IDOR漏洞是我的第一个有效漏洞,至少我认为它是开启我漏洞测试的一个转折点吧。

“对新手白帽有什么好的建议?”

我只想说的是,漏洞众测社区的力量非常强大,做为个人来说不要闭门造车,在自我学习钻研的同时,你还可以借助社区力量,比如多学习学习hecker101资源,去Twitter浏览安全信息,遇到问题多与其他同行交流学习,我认为大多数人都会乐于伸出援手帮助别人的。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

React开发实战

React开发实战

[美] Cássio de Sousa Antonio / 杜伟、柴晓伟、涂曙光 / 清华大学出版社 / 2017-3-1 / 58.00 元

介绍如何成功构建日益复杂的前端应用程序与接口,深入分析 React库,并详述React生态系统中的其他工具与库,从而指导你创建完整的复杂应用程序。 你将全面学习React的用法以及React生态系统中的其他工具和库(如React Router和Flux 架构),并了解采用组合方式创建接口的佳实践。本书简明扼要地讲解每个主题,并呈现助你高效完成工作的细节。书中严谨深刻地讲述React中重要的功......一起来看看 《React开发实战》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器