求木之长者,必固其根本;欲流之远者,必浚其泉源。
噔噔噔!这一回即将登场的大佬是:
顺丰安全应急响应中心总榜第一
货拉拉安全应急响应中心总榜第一
贝壳安全应急响应中心总榜第一
95后顶尖白帽 黑色记忆 师傅!
大家好,这里是顺丰白帽访谈第三期!
五年前,他同样是一位刚入行的萌新,
及至今日,他将种种荣誉尽揽怀中。
大家是否好奇,他一路是如何走来的呢?
黑色记忆师傅不吝珠玉,分享了诸多入门经验,
希望大家都能够有所收获!
感谢黑色记忆师傅接受采访,先跟大家打个招呼吧!
大家好!我是白帽子黑色记忆,目前主要研究方向是JAVA WEB安全,后续可能会尝试更多领域,如IOT、车联网、人工智能。我是95后,从事网安行业有5年了,很高兴接受这次采访!
黑色记忆师傅是什么时候开始对网络安全感兴趣的呢?
是上大学期间,当学习《网络安全》这门课程时,就对“黑客”的各种攻击手法产生了浓厚的兴趣,但是当时苦于没人带领,也没有可以实战的项目。
所以师傅是一开始就将网络安全作为职业方向了?
准确说不完全是。上大学时是对安卓开发比较感兴趣,那时候觉得向身边的朋友“炫耀”自己开发的APP是一件非常炫酷的事情,但毕业时却发现安卓开发方向并非很好找工作,尤其是随着H5技术的快速发展,native安卓开发岗位的工作少之又少。
毕业后第一份工作是国企的测试开发岗位,日常工作是配合测试人员做一些测试的辅助工具和测试系统。入职后不久,习总书记在国家层面就做出要大力发展网络安全的重要指示,作为国有企业,当然需要身先士众。
为响应国家层面对网络安全的号召,集团内需要专业的蓝军团队来支撑所在研发部门的安全攻防工作,新入职的我也就是从那时起正式开启了我的网络安全之路。
那个时候您是如何迅速入门、上手工作的呢?
任何事情都是没有捷径的,都说万事开头难,但网安行业中间其实也不轻松。不过好在我前期做过一些开发的工作,因此入门上相对大部分白帽同学来说可能会稍微轻松一些。
尽管如此,我在刚开始学习各种安全漏洞时也是一头雾水,很多时候发现了一个“疑似”的漏洞,但是不能确定,这个时候就需要到处查询资料看看有没有类似的安全漏洞,或者咨询前辈来确定自己发现的到底是不是漏洞。——相信很多同学刚入门时也都有过类似的困惑。
对于新手入门,还是建议先学习一些基础的知识,例如网络基础、前后端开发基础、数据库操作等,这样再入门安全行业相对要容易很多。
若是新手有进一步深入钻研的想法,可以先在哪些方面做准备?
网络安全与其他任何IT行业都不同,网络安全要求对整个计算机系统的软硬件都要有所涉及,深度尤其是广度都远大于其他IT行业。
拿最常见的WEB安全来说,应该至少需要掌握基本的开发知识,如常见的前后端开发语言(JAVA、JS等)的基本使用,其次是系统的常见部署架构,可以使用公有云等来搭建一些环境来测试。
最后,作为技能,除了技术之外,我认为英语能力也是很重要的。一些高质量的技术文章往往都是英文的,如果采用简单的机械翻译往往会破坏一篇高质量文章的精华部分。此外,由于计算机编程语言目前也都是英文的表达方式,英语能力好的白帽同学往往看到一个接口名字大概就能知道具体的业务功能了。因此,建议各位白帽同学在学习技术的同时也能提升自己的综合能力。
您在挖洞过程中最常使用哪些工具和技术?有什么诀窍可以分享吗?
工具其实很简单,一个抓包工具,一个开发的IDE,一个文本编辑工具基本就够了。建议大家还是能够尽量熟悉使用一些脚本语言,如python,很多时候可以帮助我们处理一些手工比较耗时的事情,极大的提高我们的挖洞效率。
迄今为止您挖过印象最深的一个漏洞是什么?
记得有次发现了某SRC的JAVA Spring框架的一个常见的未授权漏洞,通过该漏洞直接获取到了核心系统的大量用户token以及大量敏感接口,这个漏洞也帮助我后续在该业务线发现了几十个高危漏洞。
师傅是否也曾遇到过一些极为艰巨的挑战?
在挖掘企业SRC这种无测试账号、无内部项目资料的情况下测试一个从未接触过的系统谈何容易,有时候通过各种方式获取到一个敏感的未授权接口,但是参数未知,这种情况我想大多数白帽同学都会遇到。记得有一次我花费了好几天的时间,最终通过测试大量关联的系统业务才找到有效参数最终成功利用。
那师傅觉得哪方面的漏洞会更好挖一些?
这个问题没有准确的答案,漏洞我认为都不好挖,还是要看投入的时间以及对业务的理解程度。每个大公司都有专业的内部安全团队,外部还有众多白帽子,已经上线的系统往往都经历了多轮的安全测试了,通过简单的抓包改包或者直接使用扫描工具就能挖掘到的漏洞少之又少,这也导致很多白帽子刚开始挖掘漏洞时会出现挖啥啥都挖不到的情况。
这其实很正常,因为漏洞挖掘本来就不是件容易的事,但我想说的是只要能够深刻了解业务,结合多个业务系统一起看,往往会有很多新发现,测试一遍没有发现漏洞就测试第二遍,第二遍没有就第三遍,每个领域或者说每个系统其实都一样,因为没有绝对安全的系统。
前景来看,接下来几年或者未来十几年热门的应该是人工智能以及车联网方面的漏洞挖掘,这块系统的安全性将直接影响人身安全。
AI的发展对您目前的工作学习会有影响吗?
当然有,AI极大的方便了日常的工作和学习,例如我们需要寻找一个有效的payload时,通过AI即可快速获取。
师傅的日常生活是什么样子的,有什么兴趣爱好吗?
和大部分打工人一样,目前的日常生活主要是两点一线。下班时间主要是挖挖漏洞,周末可能会骑骑车,看看电影,弹弹吉他,喝喝咖啡吧。
相比其他同行,您认为自己有什么不足和长处?您觉得自己能取得如今的成绩,最主要的因素是什么?
不足吧,我认为目前对未涉足的领域的研究相对会比较少,更多的时候还是停留在自己熟悉的领域。
长处我认为是在碰到一个新的技术点的时候,我都会投入大量的时间研究,直到完全弄清楚其中的原理。
取得如今的成绩,有无数个夜晚坚持不断的努力,不轻易放弃,当然也有运气,哈哈哈。
师傅肯定谦虚了,我们都是目睹了师傅恐怖实力的!时光总像梨花谢了春红,脚步太匆匆,今天的访谈此时已接近尾声,又到了说再见的时候。再次感谢黑色记忆师傅慷慨分享的大量干货,相信尤其是对一时晕头转向的新人来说,这会是不可多得的财富,同时也期待与师傅下一次的火花碰撞!
不客气!在最后,我给五年前的自己和其他新人留一句话吧——你所遇到的困难,其他同行也曾遇过,其他同行能做到的,迟早你也可以做到。
总 • 结
2024/3/8
可以看到,每位登凌绝顶的高手身后,都会是一长串跋涉而来的足迹。
大木百寻,根积深也;沧海万仞,众流成也;渊智达洞,累学之功也。
不知大家有没有从中得到一些感悟与帮助呢?
如果大家有其他想要我们采访的白帽师傅,也欢迎留言!
公众号 | 顺丰安全应急响应中心
微信 | SFNETSEC
SRC平台 | http://sfsrc.sf-express.com/
