‘持久性是关键,因此并不期望在第一天有巨额支出”
一切始于Commodore 64,但亚历克斯·查普曼(Alex Chapman)在大学的职业咨询日之后,对编程的热情使人们对道德黑客入侵产生了兴趣。
自2007年在计算机科学毕业以来,总部位于伦敦的脆弱性研究人员在德勤,上下文信息安全和Yahoo期间从事笔测试,红色团队和安全研究。
在为Hackerone和Yahoo的脆弱性披露计划工作之后,全日制的Bug Hunter对漏洞赏金市场的未来的想法得到了很好的了解。
讲话每日swbeplay2018官网ig查普曼解释了他对CI/CD系统和容器化,以及为什么黑客与笔测试公司的参与之间的更大合作将是一个福音错误赏金场地。
您何时以及如何进入道德黑客?
我想我八岁或九岁的时候有了第一台PC,即Commodore 64。当我父亲从贸易展览中将其带回家时,我把它拆了出来。
一旦我开始正确使用计算机,我就开始编程,付出或接受,因此[年龄] 10、11、12,然后我对安全场景非常感兴趣。
我原本希望离开大学做发展工作,但随后有人从事恩斯特和杨的职业生涯,说你实际上可以做道德的黑客作为职业,这让我震惊了。
我认为我向[漏洞披露程序]提交了一个错误,但是直到我开始从Yahoo的计划方面参与Bug赏金,我才真正掌握了它。
我在Hackerone呆了不到12个月,但是很多时候实际上是富有同情心的假期,因为我和我的妻子失去了我们的女儿。
当我回到Hackerone时,我还没准备好,所以我休假了一些时间,真的开始进入Bug Bounty [狩猎],并决定全职付款。
您是否有您有兴趣进行探索的特定技术?
我不擅长网络黑客。beplay体育能用吗我对我不像源代码分析,逆向工程或系统分析那样感兴趣。
在过去的两年中,我花了很多时间专注于CI/CD系统。这就是我喜欢黑客的地方:复杂系统互动,并且在逻辑上可能出错,以及您的经典反向工程和本机应用程序中的错误。
决定针对哪些程序时,您还要寻找什么?
我通常会从事我知道其他错误猎人有很好经验的程序。
我全职做这件事,我必须支付抵押贷款,所以我还要看待预付款的前10-15%的支出计划。
但是,如果我觉得一个程序正在变得艰难,我可能会继续做其他事情。因此,只要我能赚到足够的钱,探索有趣的技术是驱动我的最大事情。
你可能还喜欢“我不喜欢关键虫子” - 圣地亚哥·洛佩兹(Santiago Lopez)正在成为世界上第一个虫子赏金百万富翁
您是否遇到了负责任的披露问题?
最大的问题是付款缓慢,计划需要支付6-9个月的时间,因此我倾向于坚持我知道在合理的时间范围内付款的计划。
而且,一两次试图说服该程序是一个错误 - 也许我在初始报告中没有足够的解释或提供足够好的示例。
我认为这是黑客和[脆弱性披露]程序之间的许多磨合:我们不一定擅长解释该错误或解释风险。
容器化的兴起促使查普曼找到了几个“重叠的错误”
您最自豪地发现什么安全漏洞?为什么?
几年前,在H1-702,我设法在GitHub上获得了代码执行。该错误本身并不是特别好,但这是我打算看一年左右的领域。
我一直怀疑这个错误会在那里,所以当我终于到处寻找它时,知道它在那里真是令人满意 - 这是我最高的付款。
关于研究人员试图破解的代码和技术,最有趣的趋势是什么?
我看到的最大的事情 - 部分是因为我去找它 - 是使用容器。
最近,我完成了很多操纵箱化的程序,Kubernetes,并在一个程序中找到了特定的错误,然后根据运行类似技术的其他程序进行了检查。我只发现了一些重叠的错误,但是每个错误都导致我走了一条不同的途径,然后在其他程序中找到其他错误。
您会给有抱负或经验不足的虫子猎人提供什么建议?
不要指望世界赏金中的世界;这是一个缓慢的过程,可能会磨碎。我有13年的专业经验,从事安全工作,渗透测试和研究,我仍然发现很难找到错误。
持久性是关键 - 因此,第一天的付款并不高。
在接下来的几年中,除了继续全职担任Bug Hunter以外,还有其他职业计划吗?
将近两年的时间,我认为要摆脱困境的一件事是社区,[在一个团队中工作]和[职业]进步。
虽然我能够在Bug Bounties中过着非常好的生活,但[在加入或跑步团队方面]没有“下一步”。
我有一个想法建立一个虫子猎人。有三到四个人在当地担任笔测试人员,我希望参与其中,但是试图说服他们离开全职工作是比我希望的要困难的。
这很有趣,因为Bug Bounty狩猎似乎主要是作为独奏的努力。因此,您认为一种更协作的方法可能会富有成果?
当然。我认为这将是一种非常有利可图的方式。每个人都会带来自己的技能和经验。
当我与其他黑客合作进行现场活动或一个或两个错误时,该对话是关键。为了能够解释事物并让某人挑战您的假设通常会导致您永远不会想到的事情。
我非常内向,所以我很高兴自己独自工作,但是每天都没有看到人,这确实可以达到我更喜欢在团队中工作的地步。
您还有什么要添加有关Bug Bounty或Infosec的其他内容吗?
最近,我注意到Bug Bounty有一些PR问题,因为很多人认为这总是大家提交的非常糟糕的错误。
我已经看到了所有三个维度的漏洞赏金 - 平台一侧,程序侧和漏洞赏金方面 - 没有多少人见过。
推荐的Ghunt Osint工具仅使用其电子邮件地址嗅出Google用户的帐户信息
在接下来的几年中 - 希望在接下来的12-24个月中 - 我认为我们会看到传统的渗透测试人员接受更多的臭虫赏金。
我认为,即使是传统的英国渗透测试公司,也将在没有参与的情况下将其顾问的时间用于漏洞赏金。我很想看到专业公司从事这项工作,因为他们将进行任何正常的笔测试参与。
我不喜欢作为笔测试仪工作的一件事是,目标总是为我定义。
Whereas if consultancies can say to you, “you don’t currently have an engagement, here’s a list of bug bounty programs that we think could be lucrative”, it covers that thing of research time, you get to apply those skills elsewhere, and it would have a potential return on investment.
现在赶上‘我认为这是一个完整的fluke’ - 凯蒂·帕克斯顿(Katie Paxton)在她的臭虫赏金中受洗,以及为什么AI永远不会完全取代安全研究人员
