阿根廷黑客揭示了他的方法背后的方法
关键安全缺陷的巨额支出通常会窃取头条新闻,但世界上第一个漏洞的赏金百万富翁通过一条不太明显的路线吸引了媒体的注意力。
圣地亚哥·洛佩兹,他只有19岁达到了里程碑2019年2月,他的成功归因于一种巨大的职业道德,并在赚钱的时间与奖励的规模平衡。
洛佩兹现在位于Hackerone的第二位有史以来的排行榜,尽管他迄今为止最高的赏金被诸如此类的计划所提供的巨大奖励所吸引Facebook,,,,索尼Playstation, 和苹果。
位于布宜诺斯艾利斯的洛佩兹(LopezTwitter,Uber和Airbnb,告诉每日swbeplay2018官网ig他胜过全球大部分虫子猎人的能力背后的秘密。
成为第一个感觉如何错误赏金这么年轻的百万富翁?
我仍然很感激成为第一个到达这个地标的黑客,很荣幸看到我的作品得到认可和重视。
我最自豪的是,由于我的工作,公司和信任他们的人比以前更安全。这激发了我继续推动自己将黑客攻击到一个新的水平。
您的新财富以什么方式改变了您的生活?
很多方面。我最欣赏的是能够帮助我的家人应得的乐趣。
能够找到富裕的生活使我非常感谢自己的生活,尤其是在我来自年轻人(很少)拥有[有]的机会的国家。
受到推崇的‘我认为这是一个完整的fluke’ - 凯蒂·帕克斯顿(Katie Paxton)在她的臭虫赏金中受洗,以及为什么AI永远不会完全取代安全研究人员
您赚到的最大赏金是什么?
我赚到的最大的赏金是9000美元SSRF[[服务器端请求伪造在私人程序中的瑕疵]。
在寻找错误时,最让我感兴趣的是在短时间内找到尽可能多的错误,并为他们获得良好的薪水。有人说:“数量之前的质量” - 但数量是我喜欢的!
您认为取得成功的主要原因是什么?是什么让您看到别人没有的错误?是您的方法吗,您会花更多的时间吗?还是仅仅是天生的黑客才能?
我通常每天花费六到七个小时,这比大多数道德黑客都要多。
当寻找错误时,我总是在寻找不太严重的虫子 - 我不喜欢关键虫子。我的目标是在最短的时间内找到我可以找到的[最高]值错误。我认为,如果该计划的奖励在$ 500- $ 2K之间,我认为它的价值很高。
洛佩兹和他的黑客虫子猎人
在上一次采访中,您说您的专业是发现不安全的直接对象参考(书架)漏洞。为什么这是这样一个感兴趣的领域?
我喜欢这些脆弱性,因为它们很容易找到,并且大多数大型程序为他们付出了很高的收益。我的重点是为我的时间最大化利润,而是为我做这件事。
您还有其他类型的错误,您特别感兴趣/擅长,为什么?
除了对文物有品味,其他吸引我的脆弱性还有XSS((跨站脚本),权限模型问题或SSRF。我喜欢这些攻击,因为它们很容易找到,并且大多数公司为他们支付了很多费用。
您发现的最有趣和/或有影响力的错误是什么?
我有机会在职业生涯中找到了很多有趣的文献。
最有趣的方法使我能够删除受影响公司创建的任何用户。其他机构允许我在未经授权的情况下编辑公司的关键设置。
您通常针对哪种程序,以及如何决定?是基于技术类型,例如该计划的声誉吗?
Hackerone非常适合寻找良好,有益的程序,并且非常易于使用。
当然,感兴趣的程序是付款的计划。我不关注它们是否是私人的还是声誉的;我关心他们使我能够通过各种范围来探索和研究新事物。
您是否遇到了负责任的披露问题?如果是这样,发生了什么事?
事实是,我从来没有遇到过负责任的披露问题。
同样,我知道有些人有问题,因为他们发布了有关错误的信息。在社区中,这是一个相当普遍的情况,但是我们所有人都尽力而为。
您是否打算在接下来的几年中继续专注于狩猎?
我目前是一名全职虫子赏金猎人。但是,我想在将来的某个时候学习。
我对信息学的职业感兴趣,并希望拥有自己的公司。不过,我仍然总是想继续作为一种爱好!
