【FreeBuf字幕组】HackerOne优秀白帽黑客采访系列-Corben Leo

栏目: 编程工具 · 发布时间: 5年前

内容简介:Corben Leo(@cdl),19岁,南达科塔州州立大学计算机系在读,信息安全咨询分析师,专注于Web安全,熟悉Go、C、Python、Bash、PHP、JS等前端编程语言。Corben发现的漏洞曾获得Google、Microsoft、Apple、Yahoo!、AT&T、美国国防部、ASUS、Nike、荷兰国家网络安全中心等公司和机构的致谢,并发现了11个具备CVE编号的漏洞。另外,Corben还利用课余时间创建了安全公司Lynx Security,专门为企业客户提供全面的渗透测试服务。

人物介绍

Corben Leo(@cdl),19岁,南达科塔州州立大学计算机系在读,信息安全咨询分析师,专注于Web安全,熟悉 Go 、C、 Python 、Bash、 PHP 、JS等前端编程语言。

Corben发现的漏洞曾获得Google、Microsoft、Apple、Yahoo!、AT&T、美国国防部、ASUS、Nike、荷兰国家网络安全中心等公司和机构的致谢,并发现了11个具备CVE编号的漏洞。另外,Corben还利用课余时间创建了安全公司Lynx Security,专门为企业客户提供全面的渗透测试服务。

观看视频

看不到视频 点这里

采访实录

2018年,Corben曾发现了Nike官网的一个严重漏洞,可以利用OOB-XXE方式获取网站注册用户的敏感信息,并访问网站内部配置,进一步可形成远程代码执行。而当Corben向Nike上报该漏洞后,却迟迟没有收到回应,出于对漏洞隐患和用户信息的安全考虑,Corben联系了ZDNet对漏洞进行了部份曝光,以催促Nike方面及时修复漏洞。

“最早是如何接触到黑客技术的?”

高中一年级上课,学校在学生电脑上,配置了防火墙规则,限制我们上课时玩网络游戏、看YouTube和Netflix等在线视频。我比较反感,所以就利用课余时间,想办法尝试对电脑进行系统提权,之后成功删除了其中设置的防火墙规则,实现了自由使用电脑的目的,另外还帮助好多朋友也做了规则删除,后来因此在学校遭了处罚,但却因为这件事,让我电脑运行机制和黑客技术产生了莫大兴趣。

“你选择做白帽黑客的初心是什么?”

有多种原因,既有好奇的原因,也有挑战性的因素。我更多出于喜欢挑战性,就像解谜题一样需要创意,需要构思才能正解。所以做白帽黑客就像解题一样,非常有趣,可以和朋友合作,也可参加比赛,或是线上与别之合作,总之非常有意思。我本身非常喜欢思考和构造,所以我乐此不疲。

“发现漏洞时是什么感受?”

噢,我觉得第一次或是任何的漏洞发现,都是一件非常刺激的事,有肾上腺素飙升的感觉。如果和朋友一起的话,我会非常兴奋,我们会击掌庆祝;如果我是在家测试,我就会大声惊叹,哦…,总之非常兴奋,非常刺激。

“你如何理解黑客精神?你如何看待白帽黑客社区?”

我认为黑客是那些,在智力和创造力方面异于常人的人,他们总能想办法突破一些限制。作为其中的一份子,白帽社区就是我的世界。通过社区的相互交流,我在其中结交了好多朋友,能够以自己的白帽身份,和志趣相投的其他人,一起出去玩,一起研究感兴趣的事。

“用漏洞赏金购买过什么好物?”

我弟弟的一个好朋友过生日,我花费了300美金,买了一个他此前非常心仪的东西,送给他做生日礼物,给了他一个惊喜。因为他是我弟弟的高中好友,所以我就慷慨破费了。我从未看到他那么高兴,他脸上洋溢的笑容,表明他非常喜欢这个礼物。能让别人快乐,这就是我认为的好物。

“有需要感谢的白帽朋友吗?”

有很多很多,他们给了我支持和力量,像@notnaffy和@mlitchfield我从他们身上学到了很多东西,还有@rhynorater和@orange,和好多好多我要感谢的朋友。当然还要感谢白帽社区中的朋友,因为我们都互相帮助,并且都从各自身上学到了好多,相互取长补短,我在此对他们,对整个社区表示感谢。是我们每位白帽组成了社区,培育出了那种重要氛围。即使别人不这么认为,但至少对我来说,这种社区氛围意义非凡,它不仅仅是某几位朋友的帮助而已。

“收到过什么值得收藏的奖励物?”

哦… 我收到最好的奖励物,应该算是连帽卫衣吧。我个人非常喜欢穿卫衣,我记得当初我入行漏洞众测时,看到一些参加Twitter漏洞众测的黑客,他们在朋友圈分享了奖励的卫衣,我非常喜欢,我就想一定要得到一件,最终如愿以偿。所以,卫衣算是我喜欢的漏洞奖励物吧。

“你为什么选择在HackerOne平台参与漏洞众测?”

我对HackerOne的员工比较有好感,在这个平台他们都各司其职。他们既了解白帽社区,又服务于白帽社区。另外我还喜欢HackerOne上的测试项目,上面的厂商测试范围明确。所以这些都是我选择HackerOne的原因。

“对新手白帽有什么建议?”

我给白帽新手的一条建议就是,要坚持不懈不能放弃。我记得当初我刚开始入行漏洞众测时,感觉非常难,差点要放弃了。因为我那时什么都没发现,最后我选择了一个最简单的测试项目,并暗自给自己打气加油,最后我记得是用了将近五六个月才收获了第一笔赏金。当时我的上报漏洞,好多被评定为信息类和重复报 真是灰心,但经历过这些之后,才会守得云开见月明。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑Darry端,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

马尔可夫链:模型、算法与应用

马尔可夫链:模型、算法与应用

Wai-Ki Ching、Ximin Huang / 陈曦 / 清华大学出版社 / 2015-6 / 39

《马尔可夫链:模型、算法与应用 应用数学译丛》讲述了马尔可夫链模型在排队系统、网页重要性排名、制造系统、再制造系统、库存系统以及金融风险管理等方面的最新应用进展.全书共安排8章内容,第1章介绍马尔可夫链、隐马尔可夫模型和马尔可夫决策过程的基本理论和方法,其余7章分别介绍马尔可夫链模型在不同领域中的应用. 《马尔可夫链:模型、算法与应用 应用数学译丛》可作为自动化、工业工程、统计学、应用数学以及管理......一起来看看 《马尔可夫链:模型、算法与应用》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

SHA 加密
SHA 加密

SHA 加密工具

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具