您可以说约翰尼对网络安全有兴趣。当他不担任进攻安全研究人员的Synack或担任自由渗透测试师时,他是加利福尼亚大学欧文分校的网络安全讲师。事实证明,约翰尼对网络安全的“兴趣”更像是一种无所不包的激情。
“我是Burp Suite Professional的狂热用户,一旦我看到网络安全学院,尤其是具有像这样的大行业名称beplay体育能用吗詹姆斯·凯特尔(James Kettle)参与其中,我只是知道我必须跳上它。”
他在包括OSCP和其他各种认证在内的各种培训工作后,发现自己有兴趣尝试在Web应用程序安全领域中提高自己的游戏。beplay体育能用吗
他在Covid-19的最初几个月中锁定了锁定,精心努力地贯穿Web安全学院的每个主题,每天工作数小时,直到他完成所有这些主题。beplay体育能用吗在我们的第四名中排名名人堂(在这次采访时),我们想了解beplay体育能用吗网络安全学院帮助约翰尼进一步了解了他对Web应用程序安全的了解。beplay体育能用吗
约翰尼·比利亚雷亚尔(Johnny Villarreal):服务器端请求伪造,那是我开始的地方。对于我们很多人的Bug Bounty Hunters来说,这是一个非常热门的话题。有很多人从这些程序中享受$ 10K的赏金,并且总是“ SSRF”,“ SSRF”,“远程代码执行”,“ SSRF” ...
“要找到一个在一个位置上拥有所有这些信息的地方,具有一贯的实验室质量,尤其是自由的,这是一个不费吹灰之力的。你为什么不潜入其中?!”
JV:我实际上已经设置了一个警报,所以每当Web安全学院有任何更新时,我都会嗡嗡作响beplay体育能用吗推特。我绝对喜欢实验室,所以当我有一个新的挑战时,我必须立即知道尝试打败!
我有点喜欢的新主题没有时间表。你们在释放它们时释放它们,然后直到您弄清楚,这只是一场战斗。我认为常规和舒适的时间表使一切都无聊。毕竟我们都是攻击者,我们喜欢混乱。
约翰尼·比利亚雷亚尔(Johnny Villarreal)
合资:HTTP主机标头攻击,毫无疑问,整个话题震惊了我。主机标头攻击类是重点,但也相对于服务器端请求伪造。这对我来说真的很有趣,因为这是我一直在真实应用程序上遇到的怪异,有趣的怪癖之一。
“我遇到了很多事情,以至于我实际上为SSRF制作了扫描仪。我不是称其为SSRF扫描仪,但这是……它使用了我在整个漏洞类中学到的一些东西我基本上可以将几百个URL扔进去,走开,拿一杯啤酒,回来并向我的C2服务器寄出了很多回调。”
JV:我想回去的那些通常是其中包含多个漏洞类的主题。在一个避免例如,实验室,您必须实现sqli。这是因为您正在做挑战,所以您期望在某种程度上立即执行远程代码执行,但这并没有这样发生。这个特殊的实验室提醒我,尽管应用程序环境中的某些限制将限制一条剥削的路径,但您肯定可以通过采取另一种利用链路(例如避免序列化)来最大程度地发挥影响力。
合资:每当我遇到新移民时,无论是在行业,学生还是朋友中,即使我为人们主持我的研讨会,我总是建议这样做。在Synack Red团队中,我们每天有大约1500名研究人员评估资产。每当我的一些研究人员弄清楚如何真正推动或链接某些漏洞或仅在某个漏洞课上训练某些漏洞时,我经常将他们直接指向你们和网络安全学院。beplay体育能用吗这是一个很好的资源。
网络安全beplay体育能用吗学院是我们在真实公司现实生活中发现的一些漏洞和发现中最现实的表现之一。
约翰尼·比利亚雷亚尔(Johnny Villarreal)
合资:我认为有Burp Suite Pro非常方便,因为这些功能都存在。如果我要违反多因素身份验证,类似Burp Suite宏使实现这一目标的十倍。从技术上讲,您没有Burp Suite需要做的一切,这仅取决于您是否想撕开自己的头发...
JV:有很多好处,但是对我来说,一个真正不言而喻的好处是提供了一台利用服务器。我已经毁了自己的漏洞服务器多次,因此可以在那里工作,这是很棒的。你可以执行带外剥削,或通常要求您拥有自己的基础架构的攻击,所以我真的很喜欢它为您提供。
合资:我爱带有加密Oracle的业务逻辑漏洞实验室,这很有趣。我从字面上花了几天的时间做了等同于撞上试图解决这一问题的砖墙的精神。我很想看到更多内容,但是也许有一些教程或更适合初学者的水平。
“当我终于解决了这个商业逻辑漏洞实验室时,我得到了如此的肾上腺素激增 - 我们需要更多的内容,以便更多的人享受这种感觉!”
我认为网络安全学院是一件beplay体育能用吗很棒的事情,它在很多方面几乎是给社区的礼物。通过做一些实验室,我什至觉得我有足够的知识开始进行自己的研究或编写自己的工具。
约翰尼·比利亚雷亚尔(Johnny Villarreal)
合资:我会告诉人们他们应该始终从指挥注射,因为他们会开始看到能够在其他人的服务器上运行命令的影响 - 这使其在他们的角度上更加现实。
坐在网上安全学院,在没有解决方案的情况下做beplay体育能用吗这个疯狂的大脑难题,我认为没有更好的方法可以花时间。有时我什至要打开一两杯啤酒。
约翰尼·比利亚雷亚尔(Johnny Villarreal)
