zoukankan      html  css  js  c++  java
  • 大家好,我是菜菜子,Can’t RCE安全团队队长

    白帽江湖人才辈出,传奇人物不胜枚举,这里只用实力说话,也许你没见过大佬真容,但ta的“传说”或许早有耳闻~

    Xrayteam安全团队的xxxeyJ:“挖洞只是展现个人能力的一种形式,短期内的确能产生一定收益,但不要让它成为体现你个人价值的唯一标准。”

    The loner安全团队的月神:“白帽子都感受过挖洞的孤独,没人分享喜悦,也没人倾听悲伤。虽然团队名叫孤独者,但是我们希望把每个白帽子凝聚在一起,从此不在孤独!”

    渊龙Sec安全团队:“为国之安全而奋斗,为信息安全而发声。技术是枯燥乏味的,如果你决定进入网安行业,请一直保持热爱!”


     

    今天我们又探寻了1位神秘白帽

    Ta就是

    大家好,我是菜菜子,Can’t RCE安全团队队长
    大家好,我是菜菜子,Can’t RCE安全团队队长

    “菜菜子,网络尖刀成员,Can’t RCE安全团队的队长,现从事在安全服务行业。

    曾获荣誉

    2021年百度杯积分第一名

    2021年BSRC年榜第二名

    2020年BSRC年榜第二名

    相信很多师傅在各家SRC榜单见过菜菜子这个ID,实力有目共睹,今天恶灵表姐通过采访菜菜子,分享了Ta的独家挖洞秘籍和心得感悟,文末还有抽奖环节,别错过呦!

    1、认识菜菜子

    恶灵:感谢师傅参加本期采访,先给大家打个招呼吧~

    菜菜子:大家好,我是菜菜子,网络尖刀成员,Can’t RCE安全团队的队长,现从事在安全服务行业。平时也喜欢打游戏、听音乐、看日剧,还喜欢和朋友们出去玩。

    2、如何走上挖洞之路

    恶灵:师傅是在怎样的机遇下接触的安全呢?

    菜菜子:我的专业是生物信息学,由于专业需求做了数学建模,在建模时选修了一门密码学,老师第一节课就讲了CTF,当是感觉挺有意思的,后来就跟着这个老师学。

    这个老师刚好也是我们学校负责CTF比赛的,当时同届打CTF的学生很少,我刚好对它感兴趣,就跟着老师一路打比赛,后来慢慢又接触了挖漏洞赚赏金。

     

    恶灵:分享一次印象深刻的挖洞经历?

    菜菜子:我挖洞比较佛系,一般就site。有一次我site某大厂的文件服务,结果发现一个很诡异的目录,文件名是某个周日的下午两点(20xx-10-xx-14:00.log),我随机修改了几个周日作为文件名,发现都能读到,然后我在某个周日的文件里找到了泄漏的敏感信息,最后评级为严重漏洞。

    3、揭秘菜菜子的挖洞技巧

    恶灵:给大伙分享一个独家挖洞技巧吧!

    菜菜子:多研究API,很多时候看起来官方用API挺安全,但是你拿到手上就会发现漏洞。

    多思考业务在获取这个API文档后会如何调用,如果他按照官方文档调用会有什么麻烦的地方,为了避免这些麻烦,他会不会投机去使用一些错误的方式来调用,站在开发者的角度去思考,会挖到很多意想不到的漏洞。

    4、Ta与i春秋

    恶灵:对i春秋有哪些想说的话?

    菜菜子:感谢i春秋提供了一个展现自我的机会,希望在接下来相处的时间里,能够建立更加深度的合作,同时祝愿i春秋在未来发展越来越好,希望能举办更多的众测活动让白帽子们互相认识,交流学习。
    新朋友们,推荐大家加入i春秋的春秋云测项目,漏洞相对好挖,而且定级合理,奖励丰厚,是非常靠谱的众测平台!

     

    恶灵:未来师傅有哪些新的规划?

    菜菜子:由于工作原因越来越忙,挖洞的时间也在不断缩减,今后我也会合理安排好时间,在多个领域学习新知识,丰富自己的学识,不仅仅局限在安全领域。

     

    本期白帽采访就结束啦

    更多大佬成长故事

    请继续关注i春秋

    白帽专访丨大家好,我们是渊龙Sec安全团队

    白帽专访丨月神:我的The loner安全团队

    大家好,我是谢公子,来自深信服—深蓝攻防实验室

    大家好,我是腹黑,白帽100安全团队负责人

  • 相关阅读:
    AGC037F Counting of Subarrays
    AGC025F Addition and Andition
    CF506C Mr. Kitayuta vs. Bamboos
    AGC032D Rotation Sort
    ARC101F Robots and Exits
    AGC032E Modulo Pairing
    CF559E Gerald and Path
    CF685C Optimal Point
    聊聊Mysql索引和redis跳表
    什么是线程安全
  • 原文地址:https://www.cnblogs.com/ichunqiu/p/15726443.html
Copyright © 2011-2022 走看看