?聚焦源代碼安全，網羅國內外最新資訊！

編譯：奇安信代碼衛士團隊

曾經只出現在北美地區的?hacking?現象如今已成為一種全球趨勢。在亞太地區，由黑客驅動的安全項目同比增長30%。去年，美國黑客賺走了19%的?HackerOne?平臺上的所有漏洞獎金，其次為印度（10%）、加拿大（5%）和德國（4%），它們是2018年黑客收入最高的五個國家。

印度？是的，是印度沒錯。實際上 HackerOne 平臺發布的《2019年黑客驅動安全報告》指出，2018年，印度道德黑客賺取的獎金為2,336,024美元。

然后，你可能會問，這些黑客是誰？

本期我們邀請到了 Shivam Vashist。他在印度生活，其網絡昵稱 @Bull 更為人知，他是一名全職黑客。Shivam 放棄了考大學找一份穩定工作的傳統路徑，轉而選擇當一名全職黑客。幾年來，他教會自己的弟弟如何 hacking、幫助父親退休并帶著家人周游世界！

現在，我們和 Shivam 聊聊吧！

你好，Shivam！請先介紹下自己。

我叫 Shivam Vashisht（黑客昵稱是 bull）。今年23歲，在成為全職道德黑客并以此為生之前，從事挖礦工程工作。

你什么時候開始 hacking？

大概19歲時，我開始學習更多的計算機知識并探索道德黑客的世界。

你的家人支持嗎？

剛開始他們比較擔心。不過隨著時間的流逝，他們了解到道德黑客是完全合法和切實可行的工作后就非常支持。

你為什么選擇成為一名全職黑客？

與我而言，這份工作要比考上大學找份工作更令人興奮。道德黑客工作能讓我獲得報酬并挖掘自身潛力，我認為這要比找一份傳統工作回報更大。道德黑客是我的完美工作，我想在什么時候什么地點工作都成，非常靈活。通過 hacking，在前進的道路上我能學到更多的知識，而且能收到豐厚的報酬。

全職黑客的優劣勢是什么？

我認為優勢是它的靈活性，你可以在世界任何地方工作并且按自己的節奏工作。你就是自己的老板，而且還可能賺很多的錢。至于劣勢，我認為收入可能不是太穩定，可能精疲力竭，以及沒有社交生活。

你（平均）每天或每周hacking 的時間有多久？

我平均每周大概會 hacking 15個小時的樣子。不過具體時間要根據我的工作計劃決定。有時候我可能會連續幾天盯著，有時候可能幾周都不會 hacking。

你喜歡哪種 bug 類型？

我基本上喜歡找服務器端的 bug，如服務器端請求偽造 (SSRF)、遠程代碼執行 (RCE)、SQL 注入 (SQLI) 和加密驗證失敗類的 bug。能造成更大影響的邏輯 bug、跨源資源共享 (CORS)/OAuth 配置不當和鏈簡單客戶端 bug 也是我的菜。

最讓你驕傲的 bug 是什么？

我在一款健壯的、用戶獲得非常細顆粒度控制的應用中找到一個漏洞。開始我在這款應用內查看這些控制，看它在默認設置下能否被濫用，結果我發現很多用戶數據遭泄露。這個漏洞還可導致其它用戶的賬戶被控制。

我還找到了其它漏洞，其中一些可見：

http://witcoat.blogspot.com/2017/12/stealing-10000-yahoo-cookies.html

你獲得第一次獎金是在什么時候？感覺如何？

我在20歲的時候從 InstaCart 之后是 MasterCard 獲得第一次獎金。這種感覺太爽了，我不敢相信自己竟然做到了！好幾天我都興奮得睡不著覺！

你當白帽黑客的動力是什么？

當我能夠想出解決挑戰的創新方法并發現其他人還沒找到的漏洞時，hacking 讓我飄然如仙。成功找到一個 bug 的那種感覺讓我覺得自己活過來了而且很激動！Hacking 跟我是絕配，當然挖洞得到的獎金也是一個很大的動力，但它并非最大的動力。

你有自己欣賞的黑客嗎？

當然有了！優秀的黑客非常多，不過其中一些黑客的創造性和創新性讓我茅塞頓開，比如 @intidc (https://twitter.com/securinti)、@filedescriptor (https://twitter.com/filedescriptor)、@orange? (https://twitter.com/orange_8361)、 @jobert (https://twitter.com/jobertabma)、 @albinowax (https://twitter.com/albinowax )和@andre ( https://twitter.com/0xacb) 等等。

你對漏洞獎勵計劃有什么看法？你認為所有公司都應該設立嗎？

漏洞獎勵計劃是做安全的最佳方式之一。單單是觸及全球的黑客天才這一點就非常強大，而這也是漏洞獎勵計劃成功的原因所在。我認為所有公司都應該考慮設立一個漏洞獎勵計劃。

你對印度的網絡安全局勢怎么看？

雖然印度變得越來越數字化了，但我認為計算機安全并未得到足夠的重視，而且我們的系統中可能存在很多尚未檢查的漏洞。我們需要更多的網絡安全意識。提升安全解決方案教育以及求助道德黑客社區可能是其中一種解決方案。

你認為印度對黑客驅動安全（即漏洞獎勵計劃）概念的接受度怎么樣？

我認為印度還沒有廣泛認可這個概念。我認為印度目前只有一些公司設立了漏洞獎勵計劃。不過我估計未來幾年將有更多的公司加入。

你對道德黑客有哪些建議呢？

大量閱讀！跟隨其他黑客的步伐，了解他們是如何找到 bug 的，不停嘗試直到找到有影響力的 bug，它會給你帶來實踐技能夯實技能的機會。

推薦閱讀

HackerOne《2019年黑客驅動安全》報告來了：看完你還堅持挖嗎？

挖漏洞能發家致富嗎？HackerOne 誕生6名漏洞賞金百萬富翁

原文鏈接

https://www.hackerone.com/blog/qa-hacker-personality-shivam-vashisht

題圖：Pixabay License

本文由奇安信代碼衛士編譯，不代表奇安信觀點。轉載請注明“轉自奇安信代碼衛士 www.codesafe.cn”。

奇安信代碼衛士 (codesafe)

國內首個專注于軟件開發安全的

產品線。

? ??點個?“在看” ，加油鴨~

總結

以上是生活随笔為你收集整理的我是一名自由职业白帽黑客的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。