【FreeBuf字幕组】HackerOne优秀白帽黑客采访系列-Jesse Kinser

栏目: 编程工具 · 发布时间: 5年前

内容简介:Jesse Kinser,@securitybites,曾任职美国国防部情报机构,现任职于美国精密医疗创业公司LifeOmic产品安全经理,有超过10多年的安全工作经验。Jesse于4年前入门了漏洞众测行业,并经常利用周末和晚上的业余时间参加各大公司的测试项目,通过参与安全会议和赚取漏洞赏金,Jesse可以各地旅游,并给自己购买了一辆特斯拉Model S。Jesse在大学期间开展了一些移动安全方向的深度研究,完成了向安卓系统注入恶意软件和绕过移动应用商店( App Store)限制的设计项目,基于其优异表现

人物介绍

Jesse Kinser,@securitybites,曾任职美国国防部情报机构,现任职于美国精密医疗创业公司LifeOmic产品安全经理,有超过10多年的安全工作经验。Jesse于4年前入门了漏洞众测行业,并经常利用周末和晚上的业余时间参加各大公司的测试项目,通过参与安全会议和赚取漏洞赏金,Jesse可以各地旅游,并给自己购买了一辆特斯拉Model S。

Jesse在大学期间开展了一些移动安全方向的深度研究,完成了向安卓系统注入恶意软件和绕过移动应用商店( App Store)限制的设计项目,基于其优异表现,她在毕业之后被招募至美国国防部情报机构,为美国政府工作了五年之久。2017年,Jesse发现了影响很多大公司网站的Git信息泄露漏洞,利用该漏洞可以获取密码凭证和源代码等敏感信息,之后,Jesse在当年的BSides Las Vegas会议上披露了该漏洞。

观看视频

看不到视频 点这里

采访实录

Jesse的主要工作是通过HackerOne平台运营LifeOmic公司的一个漏洞众测项目,时不时会在HackerOne和BugCrowd上参与漏洞测试。作为众测社区为数不多的女性白帽之一,Jesse Kinser也努力在家庭和众测之间寻求平衡,她坦言,晚上哄孩子睡着之后,有时候她会做漏洞测试到凌晨。

“给大家简单介绍一下你自己?”

大家好,我叫Jesse Kinser,是一名安全研究人员兼白帽黑客。我的全职工作是LifeOmic公司的产品安全经理,平时我的任务是通过HackerOne平台管理LifeOmic公司的一个漏洞众测项目,而在晚上和周末我则会参与其它公司的漏洞众测。

“当初你是如何接触到黑客技术的?”

这就要从大学开始说起,那个时候我开始了很多独立研究,写一些电子取证的论文同时涉猎了移动安全,也就是从那时起,我喜欢上了这种面对键盘的安全技术。之后有了第一份工作,在美国情报体系机构干了五年,参与了很多厉害的网络项目,再后来又跳槽到了私营公司,工作中就接触到了HackerOne平台,后续就SalesForce公司开展了一些漏洞众测工作。

“你选择做白帽黑客的初心是什么?”

因为我很喜欢黑客技术的挑战性,从中可以获得持续性的学习提升,利用这些收获的技能经验,又能举一反三地应用到其它公司的漏洞测试中去,比如目标是某公司正在广泛投入使用的一个应用系统,那么,就可以利用黑客技术去帮助他们发现安全问题。

“发现漏洞时是什么感觉?”

做这一行就这样,有时候可能会一无所获没有发现,有时候又会大有所获,那种兴奋感就像状态重新被激活一样,你会非常刺激,满血复活,这种状态一般会持续两个小时,之后就会平息下来,继续去寻找其它类似目标了。

“你怎么理解黑客精神和白帽社区?”

黑客是非常好奇而且求知欲和动手能力都非常强的人。作为白帽社区中的一份子,我认为奉献精神比较重要。成熟的白帽一路走来,一开始都会经历从无知,到技术和眼界的逐渐提高扩宽,不同白帽的这些不同经验分享,对其他人来说就是一笔宝贵的财富,所以,身在其中我们要学会奉献并乐于帮助其他人解决问题。

“用漏洞赏金购买过什么好物?”

哦,我用赚的赏金买了一辆特斯拉Model S汽车,我先是付了定金,然后又出钱买了一个名为’HACKED’的私有车牌,我非常喜欢,这算是我的一个好物吧。

“收到过什么值得收藏的漏洞奖励物?”

哦,这个问题有点难回答,因为我个人非常喜欢各种挑战币,我会去收集各种比赛中的挑战币,之后我会借鉴各种挑战币样式来设计我们公司的挑战币以奖励给其他黑客。比如说如果某名黑客发现了高危或中危漏洞,除赏金之外我会赠送他一枚挑战币。我会收集各种比赛中的挑战币,它们是我值得收藏的。

“你为什么选择HackerOne平台参与众测?”

HackerOne上可以直接对接开展测试的公司非常之多,这些公司的测试范围相对宽泛,另外,我喜欢HackerOne的一点是,它上面的测试项目更新及时,就比如如果某家公司新推出了一个移动应用,那么明天就可能在HackerOne上开展它的安全测试,这样作为白帽来说也能及时参与。

“在此过程中有值得感谢的人吗?”

我要感谢我的妻子(同性伴侣),谢谢她一直以来的理解和支持。就算我要飞到不同地方,参加各种会议和测试比赛,她也没有怨言。或者有时我会购买一些奇怪的东西,她也不会在乎,所以在此我要谢谢她。

“对新手白帽有什么建议?”

作为新手首先不要害怕,只管认准方向,从小目标上手慢慢攻克,不要急于求成,冰冻三尺非一日之寒。要学会分解目标,从简单的入手再学会提高角度看待问题,那么你早晚都会成为一名高手。当然这个过程可能会持续数月或更久,但只要你愿意付出,愿意动手想办法,迟早都会实现你的目标愿望。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

JavaScript高级程序设计:第2版

JavaScript高级程序设计:第2版

Nicholas Zakas / 李松峰、曹力 / 人民邮电出版社 / 2010-7 / 89.00元

《JavaScript高级程序设计(第2版)》在上一版基础上进行了大幅度更新和修订,融入了近几年来JavaScript应用发展的最新成果,几乎涵盖了所有需要理解的重要概念和最新的JavaScript应用成果。从颇具深度的JavaScript语言基础到作用域(链),从引用类型到面向对象编程,从极其灵活的匿名函数到闭包的内部机制,从浏览器对象模型(BOM)、文档对象模型(DOM)到基于事件的Web脚本......一起来看看 《JavaScript高级程序设计:第2版》 这本书的介绍吧!

MD5 加密
MD5 加密

MD5 加密工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具