“坚持是关键,所以不要指望第一天就能获得巨额回报。”

安全专家亚历克斯·查普曼谈道德黑客的未来

这一切都始于加工64,但是亚历克斯查普曼在大学职业建议日之后,他对编程的热情变成了对道德黑客的兴趣。

自2007年从计算机科学专业毕业以来,这位总部位于伦敦的漏洞研究人员在德勤(Deloitte)、上下文信息安全(Context Information security)和雅虎(Yahoo)任职期间,一直从事笔测、红队和安全研究。

他还曾为HackerOne和雅虎的漏洞披露项目工作过,这位全职的漏洞猎手对漏洞悬赏市场的未来有很多想法。

谈到每日痛饮beplay2018官网,查普曼解释了他的兴趣CI / CD.系统和集装箱化,以及为什么黑客之间更大的合作和从笔测试公司的参与将是一个福音Bug赏金字段。


你是什么时候,怎么开始从事道德黑客的?

我想我八、九岁的时候有了自己的第一台个人电脑,一台Commodore 64。当我爸爸把它从一个贸易展览带回家时,我把它拆开了。

当我开始正确地使用计算机时,我开始编程,大概是10岁、11岁、12岁,然后我对安全场景非常感兴趣。

我本来打算离开大学去做开发工作,但后来有人来了,我想是安永的职业生涯日,说你可以把道德黑客作为职业,这让我大吃一惊。

我认为我向一个漏洞披露程序提交了一个错误,但直到我开始从雅虎的节目方面参与Bug奖金,我真的进入它。

我在HackerOne工作了不到12个月,但大部分时间都是出于同情休假,因为我和妻子失去了女儿。

当我回到HackerOne时,我还没有准备好,所以我休息了一段时间,开始真正投入到漏洞赏金(寻找漏洞)中,并决定全身心投入其中。


有什么你感兴趣探索的技术吗?

我不擅长网络黑客。beplay体育能用吗它不像源代码分析、逆向工程或系统分析那样让我感兴趣。

我在过去两年里花了很多,专注于CI / CD系统。这就是我喜欢黑客的地方:复杂的系统互动和事物可以逻辑出错,以及您的经典逆向工程,并在原生应用中寻找错误。


当你决定以哪些项目为目标时,你还会关注什么?

我一般会在课程上工作,我知道其他错误猎人的良好经历。

我全职工作,还得还房贷,所以我也会看前10-15%的项目。

但如果我觉得一个项目变得很折磨人,我可能会转向其他项目。所以,探索有趣的技术是我最大的动力,只要我能赚到足够的钱。


你可能还喜欢“我不是关键虫的粉丝 - 圣地亚哥洛佩兹在他成为世界上第一个Bug百万富翁的途中


您是否遇到过任何负责任披露的问题?

最大的问题是还款缓慢,有些项目需要6-9个月才能还清,所以我倾向于坚持那些我知道能在合理的时间范围内支付的项目。

有一两次,我试图让程序相信错误就是错误——也许我在最初的报告中解释得不够好,或者提供的例子不够好。

我认为这就是黑客和(漏洞披露)程序之间的许多摩擦所在:我们并不一定擅长解释漏洞或风险。


臭虫赏金 - 在二进制代码的红色臭虫反对黑背景集装箱化的兴起促使查普曼发现了几个“重叠的漏洞”


您发现的最自豪的安全漏洞是什么?为什么?

几年前,在h1 - 702,我设法让代码在GitHub上执行。这个bug本身并不是特别好,但这是我打算研究一年左右的一个领域。

我一直怀疑这个错误会在那里,所以当我终于到了寻找它时,知道它是非常令人满意的,这是我最高的支付。


在研究人员试图破解的代码和技术方面,最有趣的趋势是什么?

我看到的最大的事情 - 它部分是因为我去寻找它 - 是使用容器

最近我做了很多关于容器化和Kubernetes.,并在一个程序中找到特定的错误,然后检查它们是否针对运行类似技术的其他程序。我只发现了一些重叠的错误,但每个人都让我下下了一个不同的路径,然后在其他程序中找到其他错误。


你会给一个有抱负或没有经验的捕虫者什么建议?

不要指望世界从Bug Bounties中;这是一个缓慢的过程,可以是研磨。我有13岁,14岁的经验作为专业的安全工作,渗透测试我仍然觉得很难找到bug。

持久性是关键 - 所以不期望第一天的支付。


未来几年的任何其他职业计划除了持续全日制的猎犬以外吗?

近两年进入它,我将考虑远离Bug Bounty的一件事是社区,[在A]团队中,[职业]进展。


阅读更多的最新漏洞赏金新闻


虽然我可以靠虫子奖励过得很好,但(在加入或管理一个团队方面)没有“下一步”。

我有个主意要组建一支捕虫队。当地有三四个人是笔测试员,我很想参与其中,但要说服他们放弃全职工作比我想象的要困难得多。


这很有趣,因为bug赏金狩猎似乎主要是单人完成的。你觉得更合作的方法会有成效吗?

当然。我认为这将是一种非常有利可图的方式。每个人都会为桌面带来自己的技能和经验。

当我与实时事件的其他黑客合作时,或者对于一个或两个错误,那么对话是关键。只是为了能够解释事物并有人挑战你的假设往往会导致你永远不会想到自己的事情。

我是一个内向的内向,所以我很高兴自己工作,但每天都没有看到人们,当然会达到一个人更喜欢在团队工作的地方。


关于bug赏金或信息安全,你还有什么想补充的吗?

我最近注意到bug赏金存在PR问题,因为许多人认为它总是关于每个人提交的非常糟糕的bug。

我已经看到了来自所有三个维度的错误 - 平台侧,节目侧和Bug Bounty Side - 这不是很多人已经看到过。


推荐Genund Osint工具使用只使用他们的电子邮件地址嗅探Google用户的帐户信息


在未来几年 - 希望在未来12-24个月内 - 我认为我们会看到传统穿透测试仪接受的错误赏金。

即使是传统的英国渗透试验公司,我认为也将在没有参与的时候使用他们的顾问在Bug Bulties上。我很乐意看到专业的公司,因为他们将任何正常的笔测试参与。

我不喜欢作为笔测试仪的一件事是目标是始终为我定义的目标。

Whereas if consultancies can say to you, “you don’t currently have an engagement, here’s a list of bug bounty programs that we think could be lucrative”, it covers that thing of research time, you get to apply those skills elsewhere, and it would have a potential return on investment.


现在赶上“我认为这完全是一个侥幸。”——凯蒂·帕克斯顿对她的虫子悬赏洗礼感到恐惧,也担心人工智能永远不会完全取代安全研究人员