白帽江湖人才辈出,传奇人物不胜枚举,这里只用实力说话,也许你没见过大佬真容,但ta的“传说”或许早有耳闻~
Xrayteam安全团队的xxxeyJ:“挖洞只是展现个人能力的一种形式,短期内的确能产生一定收益,但不要让它成为体现你个人价值的唯一标准。”
The loner安全团队的月神:“白帽子都感受过挖洞的孤独,没人分享喜悦,也没人倾听悲伤。虽然团队名叫孤独者,但是我们希望把每个白帽子凝聚在一起,从此不在孤独!”
渊龙Sec安全团队:“为国之安全而奋斗,为信息安全而发声。技术是枯燥乏味的,如果你决定进入网安行业,请一直保持热爱!”
今天我们又探寻了1位神秘白帽
Ta就是
“菜菜子,网络尖刀成员,Can’t RCE安全团队的队长,现从事在安全服务行业。
曾获荣誉
2021年百度杯积分第一名
2021年BSRC年榜第二名
2020年BSRC年榜第二名
相信很多师傅在各家SRC榜单见过菜菜子这个ID,实力有目共睹,今天恶灵表姐通过采访菜菜子,分享了Ta的独家挖洞秘籍和心得感悟,文末还有抽奖环节,别错过呦!
1、认识菜菜子
恶灵:感谢师傅参加本期采访,先给大家打个招呼吧~
菜菜子:大家好,我是菜菜子,网络尖刀成员,Can’t RCE安全团队的队长,现从事在安全服务行业。平时也喜欢打游戏、听音乐、看日剧,还喜欢和朋友们出去玩。
2、如何走上挖洞之路
恶灵:师傅是在怎样的机遇下接触的安全呢?
菜菜子:我的专业是生物信息学,由于专业需求做了数学建模,在建模时选修了一门密码学,老师第一节课就讲了CTF,当是感觉挺有意思的,后来就跟着这个老师学。
这个老师刚好也是我们学校负责CTF比赛的,当时同届打CTF的学生很少,我刚好对它感兴趣,就跟着老师一路打比赛,后来慢慢又接触了挖漏洞赚赏金。
恶灵:分享一次印象深刻的挖洞经历?
菜菜子:我挖洞比较佛系,一般就site。有一次我site某大厂的文件服务,结果发现一个很诡异的目录,文件名是某个周日的下午两点(20xx-10-xx-14:00.log),我随机修改了几个周日作为文件名,发现都能读到,然后我在某个周日的文件里找到了泄漏的敏感信息,最后评级为严重漏洞。
3、揭秘菜菜子的挖洞技巧
恶灵:给大伙分享一个独家挖洞技巧吧!
菜菜子:多研究API,很多时候看起来官方用API挺安全,但是你拿到手上就会发现漏洞。
多思考业务在获取这个API文档后会如何调用,如果他按照官方文档调用会有什么麻烦的地方,为了避免这些麻烦,他会不会投机去使用一些错误的方式来调用,站在开发者的角度去思考,会挖到很多意想不到的漏洞。
4、Ta与i春秋
恶灵:对i春秋有哪些想说的话?
菜菜子:感谢i春秋提供了一个展现自我的机会,希望在接下来相处的时间里,能够建立更加深度的合作,同时祝愿i春秋在未来发展越来越好,希望能举办更多的众测活动让白帽子们互相认识,交流学习。
新朋友们,推荐大家加入i春秋的春秋云测项目,漏洞相对好挖,而且定级合理,奖励丰厚,是非常靠谱的众测平台!
恶灵:未来师傅有哪些新的规划?
菜菜子:由于工作原因越来越忙,挖洞的时间也在不断缩减,今后我也会合理安排好时间,在多个领域学习新知识,丰富自己的学识,不仅仅局限在安全领域。
本期白帽采访就结束啦
更多大佬成长故事
请继续关注i春秋