人物介绍
Aspen (@urazeebo) ,一名女性威胁情报分析师,近期正在HackerOne平台起步做漏洞众测,之前从事的工作多与API接口相关,旁人的一句玩笑话让她尝试入门漏洞众测,于是她报名参与了HackerOne辅导班和各种线下赛,从学习CTF起步,但到现在还没有漏洞发现,她的年度愿望就是发现自己的第一个漏洞,不断进步。视频中她还提到了克服自我怀疑心理的建议,一起来看看。
观看视频
采访实录
你如何理解漏洞众测?
对如何进入漏洞众测来说,我想想,哦,是因为当初我总在研究一些API接口的非安全漏洞,然后旁边的人开玩笑和我说,我应该去做漏洞众测,我觉得也可以尝试看看,我就去寻找这样的众测平台,之后就发现了hackerone平台,注册就在上面玩起了CTF。
你从CTF过渡到漏洞众测用了多长时间?
这其中的时间跨度我有点无法区分,因为其中经历了太多需要掌握的知识点,我非常认真学习,希望自己能在线下测试比赛中能有所提升和发现。
你是如何获得Hackerone导师指导的?
当时是我的一个朋友推荐我的,然后我就报名参加了Hackerone的指导班,我就有幸被选成为了一名实习生,被分配到了@spaceraccoon老师那组,@spaceraccoon老师非常非常好,我师从他学习后,我们多次slack在线进行了一些交流探讨。他对我的提升进步,和参与线下比赛的帮助非常之大。经过一段时间的了解,我觉得他非常棒,非常之好,他的学识水平和平易近人的态度,我如何强调都不为过,对于我们实习生来说,他就是绝佳的导师。
你觉得HackerOne的线下赛如何?
全国范围的去参与HackerOne的线下漏洞测试赛,我会有一种自我怀疑的感觉,即使是学习了很多安全技术,也完成了相关的安全实习计划,但总认为自己还不够资格,自己还不够优秀,总感觉自己就是完全模仿照搬别人的经验,所以首先我需要克服这种自我怀疑的心理,再去认真关注,自己需要提升改进的技术,自己想要学习的大神,想要合作的人。当然了我的主要目标就是赶紧找到我的第一个漏洞,一个就好。
你的测试目标是什么?
我的众测目标,也可以说是线下赛目标就是,去发现一个漏洞,移动应用漏洞也好,API接口漏洞也好,因为这两方面都是我想专注研究的。由于漏洞众测的范围非常广泛,有非常之多的层次方面,但我最想钻研的就是移动应用和API这两块,API可以和移动应用结合在一起,又比较贴合我的实际,所以我今年的目标就是不断学习APP逆向,发现漏洞,就完美了。
你的家人如何看待你的众测兼职?
我的家人和朋友并不太清楚我做的事,但他们都非常支持我,尽管他们总是表达出,对我的事根本不懂,但他们却经常鼓励我去勇敢追求。比如我老公就超级支持我,好像他就坚持,单身父亲的形象一样,一路走来他给我的支持让我深受感动,并且他还不断鼓励我去勇敢追求梦想。另外幸好我有一个好朋友,她是一位云架构工程师,她非常理解我所从事的行业,也非常支持我,而且经常给我一些身份认证和api接口安全的建议,她以专业开发者和测试者的专业视角给我的建议,非常受用,所以从这点来看至少还有她懂我。
对新手白帽有何建议?
如果你是刚入门的,我极力推荐hacker101课程,它里面有CTF训练,非常好,其中的授课视频也很不错。你可以从中潜心学习。另外,如果你被邀请了参与线下比赛,我的建议就是不要紧张,去从内心克服掉那些自我怀疑的声音,战胜它们,保持自信。记得大家都是普通人,相信自己努力总会有所发现。其次就是要不耻下问,因为每个人都不是全能的。
本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!
来源:freebuf.com 2020-08-18 13:30:09 by: willhuang
请登录后发表评论
注册