André Baptista(@0xACB),葡萄牙人,波尔图大学信息安全系特邀教授,波尔图电脑与系统工程研究院(INESC-PT)高级研究员,波尔图大学CTF战队ExtremeSTF队长,业余漏洞赏金猎人(Bug Bounty Hunter),胎梦大全喜欢二进制漏洞利用和逆向工程。
两个高危大漏洞让André Baptista名震江湖,但他自己也坦言;“要挖到类似的漏洞非常难”。就拿他自己来说,由于此前一直参与的是CTF比赛,在2018年才真正接触到漏洞众测,所以还需要继续加强学习。
“我认为,CTF和漏洞众测是完全两个不同的领域,一个注重漏洞利用,一个注重漏洞挖掘,需要对这两个方向做到融会贯通才算得上是真正的高手。”
当我在少年时期,我就接触了电脑并自学编程。有一天我从老爸的书架里,发现了一本编程书,之后我就幻想着能不能像电影里的演员那样,酷炫地操作电脑,所以我就开始了学习电脑技术。后来,慢慢参与了很多CTF竞技比赛,从中有了收获提高,线年才正式开始做漏洞众测。
我第一次参与HackerOne的实时比赛,是2017年的拉斯维加斯,那是我此前从未有过的体验。当时我们共有三个目标系统,但我一无所获。由于我是从CTF转型过来的,CTF领域注重于,对某些软件程序的漏洞利用,意思就是,漏洞是实际存在的,只是利用过程有难度。当时来到拉斯维加斯参赛时,我没有任何漏洞众测经验,这是我第一次接触该领域,然后失败而归。但之后我又再次获得2018年度,在举办的参赛资格,赛前我进行了很多有针对性的训练,期间还发现了我的第一个众测漏洞。因为我一直在测试Shopify的相关漏洞,所以,到了之后,我又接着针对其功能特性和日常业务做了大量的分析测试,接着就发现了一个很不错的漏洞,它是一个影响系统的严重漏洞,极具隐患。所以最终我就凭借它赢得了MVH励,有点疯狂。有好多选手都发现了一些不错的漏洞,所以当我获得了MVH励时,我还有一些惊讶,因为我觉得其他人也可获此殊荣。最终我总结来看,还要得益于我测试时的创新思,和我当时优异的临场发挥,才能发现该漏洞并最终赢得MVH荣誉。
“你是从CTF比赛中成长起来的,CTF对你后来的漏洞众测(Bug Bounty)有什么影响和帮助?”
我从CTF比赛和其相关的解题报告中学到了很多,没有CTF比赛中收获的经验,我也不可能发现得了某些高危漏洞。CTF和漏洞众测从本质上来说,还是存在一些区别,CTF注重对实际存在的漏洞利用,而漏洞众测则偏向于实战的漏洞挖掘。我认为,CTF和漏洞众测在技术是可以互补的两个领域,加强对这两个领域的训练可以切实提升个人黑客技术。另外,打CTF比赛过程中的刻苦钻研和废寝忘食,也让我形成了对技术不懈的个性,这也是漏洞众测中必不可少的。
对那些想入门漏洞众测的人来说,我还是要多多看书,多参加安全会议,汲取别人的精华;多读漏洞报告(Writeups),Hackerone CTF的漏洞报告也不错,它们都是极佳的入门资源。可以多参加HackerOne上的CTF比赛,通过比赛可以像我一样获得线下赛资格。虽然CTF和漏洞众测两种性质不同,但你对它们都需要掌握。另外还有HackerOne推出的hacker101课程也非常不错,因为我曾在波尔图大学和我的CTF团队中讲授过,我也经常用其中的视频和相关资源进行教学,很多人都从中受益匪浅,当然了你也可以用它来自学。