加QQ81758415
快捷导航

黑客HackerOne对白帽Ron Chan的对话

2018-5-2 22:22| 发布者: xlbck| 查看: 41| 评论: 0

摘要: Ron Chan,香港特区人,现职业网络信息安全咨询师和木马病毒发掘专业人士。Ron于2013年香港科技大学纯物理专业结业,以后转到渠道销售。在进到木马病毒众测以前,它用了1年時间学好黑客技术,并根据了Offensive Secu ...
Ron Chan,香港特区人,现职业网络信息安全咨询师和木马病毒发掘专业人士。Ron于2013年香港科技大学纯物理专业结业,以后转到渠道销售。在进到木马病毒众测以前,它用了1年時间学好黑客技术,并根据了Offensive Security Certified Professional (OSCP)验证,并渐渐地试着参加木马病毒赏金顶目,根据勤奋努力,Ron发觉了Google、Uber、Yahoo、Spotify、Lyst等好几家著名企业官网高风险木马病毒,也是Uber 和 Yahoo木马病毒顶目的出色致谢工作员。现阶段,Ron Chan以277个木马病毒的汇报量排行HackerOne总榜第26位,是为数不多的中国人Bug Hunter。
先前,3年的渠道销售令Ron觉得身心疲倦,以前对网络信息安全的爱好激发了Ron的信心,他决策放开手一博。他一面工做,一面自学编程和其他学科。在应考OSCP的流程中,Ron直言较大艰难取决于电脑基本技能不够,在2次考题应考不成功以后,他花了约1年時间才完成进行全部学科并感受OSCP验证。而在参加木马病毒赏金顶目的流程中,他善于吸取经验,常会用心读书并完全了解他人的木马病毒剖析稿子,务求从文中进而所获。大家一起来用心听Ron Chan的共享。
Q:谢谢你接纳人们的访谈,先向大伙儿介紹一会儿自身吧!
你们好,我是mtRon Chan,是来源于澳门的一位Bug Hunter。我最开始开使触碰黑客技术是在2016年4月,哪个当时我也不知道从何开使,之后我的发现1个很有趣的再线黑客技术教程 – OSCP。历经學習,我选购了OSCP的60天Lab坏境训练,开使在其试验坏境中學習服务器渗入提权。很走运,最后我根据了检测得到了OSCP验证。再以后,我见到了台灣安会研究员蔡政达(Orange Tsai)发布的根据SQL引入保持Facebook无线代码执行(RCE)的稿子,从而触碰来到木马病毒赏金(Bug Bounty)行业。
那时候一件事而言,他人发觉的某些木马病毒技术细节十分要我开眼,另一个木马病毒赏金网站也一件事十分具备诱惑力,我以前从没官能够根据木马病毒赏金网站来法律认可挣钱。长了眼界以后,我也每日不断地读书剖析他人的木马病毒剖析稿子,最后因为我从雅虎众测顶目中发觉了自身的第一位木马病毒,感受了第一笔颇丰的木马病毒赏金,也打开了我也的木马病毒赏金之途。自那之后, 雅虎(Yahoo) 和uber(Uber)也变成我最爱参加的木马病毒众测顶目。
Q: 你怎样来融洽分派你的本人衣食住行、工做和木马病毒赏金時间?把你木马病毒赏金当做这项职业工做還是仅仅仅个人兴趣爱好?
怎么说呢,我能那样来分派平时時间的,本人衣食住行将会占有20%,工做将会占有10%,木马病毒赏金占有時间较多,贴近70%,因此我能支出绝大部分時间来发掘木马病毒。
Q: 在某一实际的木马病毒发掘中你通常会支出几个時间?每一月你的均值木马病毒生产率多少钱个?
曾经的我有一个整年数据分布数据分析,在第一季度時间里,我一月的木马病毒汇报量会是5到10个低危木马病毒,第三季度一月的木马病毒汇报量将会又会是 20到40个。这归根结底几个还和运势相关。例如,假如在某一月,雅虎决策对其Flickr业务开展某些变更调节,那麼在这一月里,你以为会发觉大量木马病毒。
Q: 你发觉的第一位高风险/高赏金木马病毒左右同用了多久?
我的第一位高风险木马病毒算作雅虎的吧,感受的赏金也十分丰厚。非常幸运,由于那时候只能澳门住户能够应用雅虎的付款作用,正好哪个当时澳门也没几个 Bug Hunter。因此,那时候花的時间也并算不上过长。

Q: 在全部你发觉的木马病毒中,哪1个是我自觉得十分非常好或较为喜爱的?

将会要属 Google Bug Hunter’s Account Takeover 这一木马病毒吧,你能点此读书。这由于依照木马病毒技术标准而言,Google本身业务并没一切不正确配备,仅仅仅在302出现异常头的字符编码时,IE的怪异使用最后造成的账户挟持形为。

Q: 你觉得你本身工艺较为大的攻克提升产生在何时?是怎样保持的?何时你明确木马病毒赏金制造业是我最该支出活力去做的?请和人们共享某些你一直在此流程中变成评出白帽黑客所经厉的看法及其碰到的某些难题。

我觉得我的关键攻克提升应当是读书了zseano的两篇工艺稿子后吧,他在稿子中演试了怎样运用開放跳转木马病毒保持Facebook关系帐户的挟持,全部工艺流程不但要我印像刻骨铭心,还要我眼界来到木马病毒“以小见大”的境地。

读过zseano的这篇文章以后,我也试着着在我参加的木马病毒众测中效仿他这类构思来检测,最终我居然发觉还真好多个顶目中存有这类開放跳转 + facebook账户挟持式的进攻。在顶目参加中,我不但会检测開放跳转 + facebook账户挟持式进攻,还会把zseano的工艺构思运用到验证登陆流的木马病毒发觉中来。因而,也也是在哪一阵子,我的发现Uber的好几个Oauth验证木马病毒和Flickr的账户挟持木马病毒。受zseano的这篇工艺稿子感悟,我左右共赚了已近4万美元的木马病毒赏金,以后也更为喜爱木马病毒众测制造业了。

我还在波攻克提升以前,我碰到的难题是,对某些木马病毒剖析稿子沒有全方位总体的了解,我估算这也会是大部分白帽初学者会碰到的难题吧。例如,当你初次见到fin1te的Turning Self-XSS into Good-XSS稿子时,我可以了解列举的基础运用方式,但深层次独特自身,却搞不懂小说作家为何务必采用內容安全策略(CSP),及其登陆CSRF会碰到的难题,等等等等,但也是这种全部零碎的关键点,最后才产生了多次利害的木马病毒检测,及其两篇出色的技术指标分析稿子。但那时候我却无能为力。在拥有攻克提升以后,fin1te发觉的全部木马病毒我都是立即关心,也用心读书了他以前全部的技术指标分析稿子,此后,我了解的全球就和以前彻底不一样了。

Q: 你通常根据哪些方式来获得某些趋向升级?

Twitter。

Q: 你会去别的白帽黑客一块儿协作吗?便捷表露两三个吗?
我近期就和@cache-money一块儿在Uber木马病毒众测中有过协作,还一块儿汇报了好多个木马病毒。平常当你碰到难题时,我能向@filedescriptor讨教,这类也算不上协作了,大量的是某些经历讨教。
Q: 句子你也是怎样剖析1个目的的?你的基本方式是啥?你的早期踩点流程是啥?通常你能突出去搜集哪些的目的消息?这种消息的效应怎样?
我参加的木马病毒众测顶目关键是 Yahoo 和 Uber,通常来说,我能查询他们的主页,查验有何业务商品升级,也想去查询他们的建设项目搏客,关心他们的Twitter,尽可能不忽视掉他们一切发布的业务作用升级。我的早期踩点流程和消息搜集关键贯穿着子域名爆力猜解、Nmap扫面和Google Dork查寻来做,这种都不全是务必步骤,我只在必需时才会做。
Q: 如果你剖析1个目的网址时,是不是会对全部的木马病毒种类都作查验检测?
我觉得我缺乏经验的部位也是目的财产的发觉鉴别了,我通常非常少应用 Dirbuster 或 Sublist3r,我也关心的目的关键是 Yahoo 和 Uber,平常早已十分知道他们的作用特点了,我惟一必须做的也是根据它们的英文Twitter来常常关心他们的业务升级。就例如Uber近期发布的台费作用、人际交往作用及其UberPOOL拼车作用等。尽管我衣食住行澳门,但Uber发布的作用运用一直比英国要晚二步,但我的这类通过英文Twitter,提早了解知道的方式几个還是一些作用的。
而对Yahoo而言,它自身具有的攻击面十分之广,如雅虎运功、Gemini、要闻、金融等,范畴真是超过人们的检测想象,因而雅虎顶目中,我通常不做子域名或文件名的爆力猜解,它的某些功能测试还要花销许多時间,因此,就见招拆招吧,遇到哪些业务用心检测就行。
Q: 你通常应用的道具是啥?没什么自身撰写的智能化方便快捷道具吗?你常见的 Burp 软件有什么?有什么值得推介的与众不同小众道具?
偶尔,我关键应用 Burp、VPS来做暴力破解,近期再用的Burp软件是JSON beautifier,因为我对智能化的道具用的很少。
Q: 问1个大伙儿容易接受的难题:你也是怎样检测RCE、SQL引入等服务器端木马病毒的?
我对服务器端木马病毒检测较多的是IDOR(不安会的成员变量引证)和验证绕开,这二种种类的木马病毒检测简易且威协程度较高。IDOR木马病毒不一定新鮮,要是用受害人标志符修改你的叁数就行;验证绕开木马病毒牵涉到某些PIN码、安会申明标记语言SAML和Oauth等的重设检测。
Q: 例如,在某些邀约顶目中,你发觉大伙儿发觉不上的与众不同木马病毒,这类頻率有多高?
不太明确,由于如果你非常少参加邀约顶目了。
Q: 你是不是觉得,渗透测试、Web设计规划或该类有关工作经历对你参加木马病毒赏金顶目进而协助?假如有得话,能够从何开使?
假如做为安会咨询师的人物而言,我觉得这种都没多少关系,安会和木马病毒赏金顶目是二种不一样岗位责任界定,且终极目标也不同。
Q: 最喜欢听哪些歌曲?
某些在Youtube上的流行歌曲。
Q: 不做木马病毒检测时,你怎样解闷?
和亲人盆友一块儿渡过。
Q: 木马病毒赏金顶目在你日常生活的人物是啥?
这就是你的个人兴趣爱好和关键衣食住行第三产业来原。
Q: 你当时初学木马病毒赏金顶目时,接纳过用什么的提议?
也是多去读书某些木马病毒剖析稿子,假如确实不了解列举的含意,你就试着构建试验坏境去感受。
Q: Web、手机端和系统配置等层面,哪一块是你要提升提升的?
iOS 体系越狱吧,它是另这种新的Hacking工艺。
Q: 假如某些初学者白帽向你资询:“我怎样初学?”,在参加木马病毒赏金顶目以前,你能给给哪些提议?
有把握就要考考OSCP验证,学学《Web运用黑客手册》和《笨方法学Python》(Learn Python the Hard Way)。
Q: 没什么不尽人意的木马病毒众测经厉?
以前参加过一间中国企业的邀约顶目,我的发现它的账户挟持木马病毒,但该企业最终却悄悄修补了,并我被发觉的木马病毒标识为N/A,沒有赏金就把木马病毒汇报关掉了。
Q: 给你挑选一位白帽作合作方,你能选谁?
@Filedescriptor
Q: 你期待木马病毒众测平台改善的作用是?
减少赏金派发期限。
Q: 最喜欢用的编辑器是?
Vim。

鲜花

握手

雷人

路过

鸡蛋
黑客技术

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright 黑客联盟安全防护网  Powered by©  技术支持:    ( 闽ICP备18000419号-1 )