“ByteSRC交流室”,是ByteSRC发起的与白帽师傅交流的长期专访栏目,我们会邀请许多网络世界里的挖洞高手,分享他们在网络世界的奇遇和智慧。这里不仅有他们的挖洞经历,还有独到的见解和技巧分享,关注“ByteSRC交流室”获取上分秘籍,揭开大佬们的神秘面纱~
刚刚结束的第十四期的安全范儿沙龙
Target1a详解17个干货案例
收获一众迷弟迷妹
听说当天个人社交账号直接被加**“爆”**
<图片来自“Target1a朋友圈”>
没错!我加上Target1a了🎉
本期“ByteSRC交流室”做客嘉宾
Target1a
01
Target1a 目标🎯
大佬能和大家说说ID为什么叫target1a嘛?
T:为了避免被认出,我有好多个ID不同平台叫不同的名字🤫
好的,Target1a
你是怎么接触到网络安全行业并选择成为一个白帽子的呢?
兴趣 最好的老师
小时候对电脑游戏、软件运作非常好奇,后来有了一定的知识累积我就发现自己对漏洞挖掘、利用特别感兴趣;最开始拥有白帽这个身份,还是因为团队的小伙伴,他们在SRC挖漏洞赚赏金也经常喊我一起冲榜,我就成为一名“白帽子”。
喜好 不喜欢挖越权,喜欢挖软件特性导致的风险并通过组合利用完成攻击链构建
我挖的第一个漏洞,是一个账号劫持漏洞,简(脱)单(敏)来说就是利用该公司SSO的重定向漏洞配合快捷登录机制实现账号劫持!
ByteSRC印象最深的是在火山引擎中提交的第一个漏洞,当时被火山引擎专测活动宣传的**“6倍积分!百万奖金池!”所吸引;在周末抽空看了下火山,提交的第一个漏洞是容器逃逸漏洞,凭借该漏洞成功拿到了单洞4W元**的奖励。
果然是简单说下!太低调了!
Target1a不愧是**“火山引擎编外蓝军”**
Target1a:我对云安全比较热爱,ByteSRC活动奖金多;那符合自己的职业发展方向、赏金又多,对火山引擎的“偏爱”就会多一点
02
自评 准确度达84%:“我说高危就高危”💯
◀
我们浏览Target1a在ByteSRC提交的漏洞报告发现,他漏洞等级自评准确度高达84%!
▶
Target1a:自评的时候我通常会从多个维度进行考虑
1. 漏洞本身:风险严重程度、攻击的难易度、影响范围、业务影响以及被攻击的可能性等...
2. 辅助信息:还会查看SRC公开的评级指南根据历史漏洞评级情况等进行综合评定。
不愧是我们ByteSRC的核心白帽师傅!
考虑的太全面了!
在这么周全的思考下
漏洞还是**“被忽略”**这种事情是怎么看待的呢?
Target1a:“撞洞”、“内部已知”的情况还是很常见的!
首先我个人比较佛系,一般分三步
step1:联系运营同学,沟通忽略原因及情况
step2:系统上联系审核提供“相关证据”
step3:情况属实那就“为安全事业做贡献”了
03
沙龙弹幕 你是怎么学的,为什么这么强📚︎
Target1a**:成为白帽后,我变得更加耐心和细致了**
白帽的身份给我的生活带来了很多变化,生活上我变得更加耐心和细致,毕竟这是挖漏洞需要的;社交方面也遇到了一群热爱网络安全的人,我个人对这个行业的看法也更加成熟和理性,我更加明白保护信息安全的意义。
谈到了“耐心”、“细致”是挖掘漏洞所需要的
成为☝️像你一样的核心白帽还需要做好哪些准备呢?
Target1a**:具有专业性、懂得团队配合**
专业性是基础,耐心让你在挖掘深层漏洞时不轻言放弃,团队合作能够让你从他人那里学到更多。
一个人的能力和视角都是有局限的,和团队一起不仅可以相互分享学习经验、扩宽挖掘视角,还可以共享人脉等资源。
04
经典环节 **对ByteSRC留条寄语吧~**🎊
我希望ByteSRC能够继续保持其专业性和高效的运营态度,为更多的白帽子提供一个展示自己、互相学习的平台。
同时,也祝ByteSRC能够越来越好,核心白帽越来越多。
感谢Target1a的祝福!也祝Target1a在安全道路上不断发现、不断突破!
ByteSRC也将继续保持专业性,为每一位白帽师傅带来丰富的奖励、资源和机会
大家有哪些话想对Target1a说的,评论区交给你们啦~
希望哪位大佬来做客“ByteSRC交流室”也快快在评论区告诉我们吧!
* Target1a沙龙分享ppt可在公众号后台回复“0621安全范儿”获取
🔥ByteSRC 活动ing
电商反爬专测:严重35000元,高危25000元,中危5000元,低危1000元
点击图片,了解详情