“ByteSRC交流室”,是ByteSRC发起的与白帽师傅交流的长期专访栏目,我们会邀请许多网络世界里的挖洞高手,分享他们在网络世界的奇遇和智慧。
这里不仅有他们的挖洞经历,还有独到的见解和技巧分享,关注“ByteSRC交流室”获取上分秘籍,揭开大佬们的神秘面纱~
“Timeline Sec”2023年度ByteSRC团队第一
Aedoo:ByteSRC核心白帽、大师捕手
Secx:ByteSRC核心白帽、高级捕手
兴趣驱动打开网络安全大门
在采访中两位白帽师傅都提到了“兴趣”
A
“浓厚的兴趣爱好,逐渐踏入网络安全行业”
Aedoo说他当时读书的时候还没有网络安全相关专业,作为计算机专业的学生最开始是对网络安全领域感兴趣,兴趣使然,从打CTF比赛一步步踏入网络安全行业;
2019年,Aedoo加入Timeline Sec安全团队,看着团队内激烈地讨论着又挖到哪家的高危漏洞了、哪家SRC奖金给的多,受团队氛围鼓舞也跟着一起冲榜一起挖洞,成为一名“兼职”白帽。
S
“如果没有对安全行业的热爱,很难坚持”
Secx跟我们分享了一个他在大学的故事,面临就业时他参加了一次讲座,讲座中老师播放了某官方被黑的图片,了解事情始末他对“黑客精神”有了新的认知,就此打开他网络世界的大门,这个图片也成为他进入安全行业的领路人;
毕业后的Secx开始从事安全研究工作,在某次网购中发现平台用户在没有授权的情况下可以获取所有用户的收货地址信息,他第一时间联系该平台并告知漏洞详情,也收获了白帽身份的第一桶金,正式成为“兼职”白帽。
“三个臭皮匠赛过一个诸葛亮”
对于Timeline Sec两位师傅是这样说的
Aedoo:“我机缘巧合下加入Timeline Sec,在团队中技术氛围更浓、收到更多情报;一起摇人组队挖洞冲榜相互激励,看见哪位师傅挖到了高赏金漏洞,会忍不住想试试自己是不是也能挖到。”
Secx也表达了“能够加入一个团队和一群志同道合的朋友、业内大佬们探讨技术、分享案例,共同守护这个行业,也正好呼应了我入行“惩恶扬善”的初衷。”
安全范儿极客之夜Timeline Sec团队领奖图
在ByteSRC“兼职”能赚数十万
**“在ByteSRC赚了多少钱?”**面对这样的问题两位师傅表示,据不完全统计漏洞奖励+伯乐奖励+激励奖****励,俩人应该有七位数了,并且帮我们标注是税后价格~
Secx:“吸引我的地方肯定有钱多啦~”
Aedoo:“ByteSRC在漏洞奖金这方面是顶级梯队的,并且还会定期开展定向业务的众测活动,还有其他额外的奖励”
Aedoo分享了他在ByteSRC特殊的挖洞经历
在字节挖的第一个高危漏洞,他的挖掘难度并不高,隐藏在一个序列化的乱码数据包中,平常测试的时候可能会忽略掉这种数据包,但就是这么一个不起眼的数据包,达成了获取任意敏感信息的危害;
漏洞的挖掘过程比较有趣,并且奖金也给的非常高,当时奖金还是升级前体系,原本漏洞奖励是8k左右赶上3倍活动,外加当月的个人奖励、团队奖励最后这个漏洞拿到了3.6w
“漏洞挖掘是对技术的一种历练”
两位都是我们字节的核心白帽
有什么成长经验可以分享给大家呢?
Aedoo:"持续学习,既要运用自己现有的知识进行漏洞挖掘,也要在这个过程中不断补充自己,加强技术能力,持续进步"
Secx:“对安全行业的热爱、过硬的安全技术以及一群志同道合的朋友是我能走到今天的重要原因”
Secx分享了他在ByteSRC的挖洞故事
“字节安全防护水平在业内topN,选择跟优秀的公司/团队角逐,也让我实现了个人技术的一次次突破”
曾经通过字节的一个开源项目成功****获取到多个重要权限。当然,这个漏洞也花费了极大精力和时间,主要路径是:资产锁定—开源项目—翻读源码—拉取源码—本地调试。付出的努力没有白费,技术和金钱双赢。
ByteSRC交流室
物质的正向反馈,技术的不断提高
是师傅们所期待的
也是ByteSRC一直以来看重的
再次感谢Aedoo、Secx
对ByteSRC的支持
在交流室中分享他的故事与见解
希望两位师傅继续和ByteSRC共同成长
🐟早日点亮“灵魂捕手”称号!🎉
大家还想在后续的交流室中听到“大佬们”讨论哪些话题?
快快在评论区告诉我们吧~
✨ByteSRC规则V6.0 漏洞奖励图✨
点击原文查看ByteSRC奖励规则