《Hacker Heroes》采访Samuel Eng


最近尝试bug bounty 又到了瓶颈期了,实在是不想继续重复测试了,看到Intigriti出了一些对顶级黑客的采访,看了很受鼓舞,于是便决定分享给各位师傅,希望各位师傅也能早日打破瓶颈期,成为挖洞大神本采访根据 youtube提供的字幕翻译而来,截取全部提问,因为本人英语听说能力实在有限,如果出现翻译错误,还请指出。

《Hacker Heroes》是欧洲的漏洞赏金平台Intigriti 推出的一个视频采访栏目,主要采访一些著名的黑客,由Intigriti的经理Pascal Schulz主持
第一期的被采访者是Samuel Eng [@samengmg)(https://twitter.com/samengmg),来自新加坡,现就职于字节跳动担任高级安全工程师,[领英主页](https://sg.linkedin.com/in/samuel-eng-89aaa720),参与过ackerOne、Bugcrowd、Intigriti 和 Synack Red Team 平台的漏洞赏金计划,于2019年被新加坡 Gov Tech评选为顶级本地黑客,是第一位在h1排名中进入前一百的新加坡人,h1最高排名是64


Samuel:我是来自新加坡的Samuel,我目前在字节跳动担任安全工程师。像今天的大多数黑客一样,我是自学成才的。当我不得不在大学项目中修改我的代码时,我开始迷上了安全,所以最终我的第一份工作是安全顾问。之后我开始考OSCP、OSCE等红队安全认证,然后我继续进入漏洞赏金计划来挑战自己

Pascal:你第一次听说漏洞赏金是什么时候?
Samuel:事实上我不太记得了,但我想那应该是我谷歌怎么提升我的黑客技术的时候。我发现了了来自几个平台的活动,比如hackerone、bugcrowd。但最终我知识通过CTF来提升我的技术。当我通过CTF提升我的技术的时候,我惊喜地意识到我也可以通过挖掘漏洞来赚取一些赏金。漏洞赏金平台给了每个人学习和赚取赏金的机会。

Pascal:请问你开始漏洞赏金挖掘大概是什么时候?
Samuel:我想大概是2017年开始,那并不算很久。事实上我认为已经很晚了。

Pascal: 你还记得你提交的第一个有效的安全漏洞是什么吗?
Samuel:是的,那是一个盲sql注入漏洞。我我真的很高兴因为大概获得了1k美元的漏洞赏金。但我后面提交的一些错误的漏洞报告也很快被关闭,但在这之中我学到了很多。当我查看我的收件箱时,实际上很尴尬,因为我的收件箱就像四年前一样。

Pascal: 如果你回顾下自己,你有多少时间花在寻找安全漏洞上?
Samuel:在我开始漏洞赏金挑战的前几年,基本是前三年把,我每天下班后会花四个小事左右的时间来寻找,所以事实上这并不包括周末。我实际上是通过这样的工作时间安排达到了一个相当高的排名。但最近我有了新的工作,所以我花在上面的时间变少了。这个工作也是漏洞赏金挑战,不过是私人的测试项目,每一次大概持续两周时间。他们邀请了一些顶级的黑客来测试,赏金回报通常很不错。我也参加了,当然我的周末也没了,但最终还是值得的。我认为我不是那种可以随意找到任何安全漏洞的人,所以我肯定需要时间,有时候效果很好,有时候则不行。

Pascal:如果你回顾下自己,你有多少时间花在寻找安全漏洞上?
Samuel:是的,如果你说的是渗透测试之类的。我认为在新加坡有相当多的人从事。实际上新加坡有很多安全测试公司和第三方咨询服务公司,所以实际上是非常多,他们无处不在。当如果我们谈论的是漏洞赏金猎人,那就不多了只是少数。我想大多数有名的人大家都知道,比如spaceraccoon和其他一些人。

Pascal: 是的spaceraccoon确实非常出名,你有机会和spaceracoon以及你提到的其他人一起线下面基吗?
Samuel:没有,现在没有,我认为疫情让这变的非常困难,但我们确实一起参加过挑战和寻找漏洞赏金

Pascal: 是的疫情确实让这变得困难了,但在疫情爆发之前,我的意思是你说你是在2017年开始漏洞赏金挖掘的,所以那是在疫情到来之前的两年半时间里,你有没有参加过像黑客聚会或其他我不知道的任何黑客活动,你们在那坐在一起讨论黑客相关的话题
Samuel:是的,我实际上是第一个真正试图组织当地聚会的人。但它举办的并不算太成功,因为我一整天都找不到对黑客感兴趣的人。在新加坡很难找到像对漏洞赏金很感兴趣的人,但最近我认为新加坡政府已经接受了漏洞赏金,最近有更多的人关注它,就像有一些其他的东西正在出现,所以我希望在疫情形势转好之后,我们可以组织黑客聚会,一起交流。

Pascal:这听起来很不错,政府在做什么,是在拥抱漏洞赏金吗?
Samuel:我有点不确定。我不知到你是否了解garth tech,那是一个专门从事技术的政府机构,他们是新加坡安全或技术方面的先驱,他们为新加坡人或全球参与者组织了赏金活动。我参加过三次挑战,在那我玩的很开心,还有spaceraccoon也实际参加了。

Pascal:这很好,就像我一直喜欢的那样,如果政府采取了行动,并对黑客悬赏感兴趣,并意识到这是最重要的部分。并意识到这不是一件坏事,不是坏人,是帮助你的人。我想对你有一点了解,因为我一直对黑客背后的身份很感兴趣我想知道什么是最让你兴奋的。当你工作时,什么是最让你兴奋的?
Samuel:我想,如果你发现了一个重要的漏洞,那肯定是最令人兴奋的,也确实如此。当我发现中危或低位的漏洞时,我并不感到兴奋。但如果我发现一个高危或者严重的漏洞时,我就会非常兴奋,甚至急于提交报告,但我知道这会给我带来更多的问题,因为分流人员可能会发现它难以重现,这将产生反效果。我还在学习如何控制这种兴奋。

Pascal:是的,我完全可以想象一个RCE或者类似的漏洞给你带来的兴奋感。有很多初学者会观看我们这一系列的视频,对他们来说,也是我经常被问到的问题,当你拿到一个目标时,你做的第一件事是什么?这也是很多人想知道的事情,当你接近一个新目标时你做的第一件事。
Samuel:我认为大多数人都建议进行信息搜集,但我认为首先必须要有正确的基础知识,因为我发现大多数人90%的时间都在进行信息搜集,但最终他们并没有尝试测试。所以我认为首先需要知道的是基础知识和基本原则,当然态度也是非常重要的。所以我认为有两件事很重要,我称之为DD,绝望和坚定。我认为这是很好的朋友,绝望和坚定。所以基本上如果你不够绝望,你将找不到任何东西。

Pascal:这是一个很好的比喻,我之前从未听说过,但我会记住这个比喻,让我们把DD这对朋友介绍给世界,你应该把这个比喻发推特。还有一个问题,也是很多初学者经常问的问题,你最喜欢的黑客工具是什么?不过对这个问题,我想你排除掉代理拦截类工具,因为很多人都只会回答burp suite,因为我每天都需要用它。
Samuel:事实上,你说对了,我就想说burp来着,但除了burp我会说Devtools。我经常使用DevTools(F12),因为我在字节跳动的部分职责是客户端安全,像XSS和访问RCE之类的漏洞。这些需要使用Devtools这样的知识,在控制台中编写简单的代码以便更好地理解js。

Pascal:这很有趣,因为对我来说,你说的Devtools显然是指浏览器中的F12,就像谷歌浏览器或火狐浏览器一样,无论你用的什么浏览器,但很多人并不认为浏览器是一种黑客工具,他们总是在浏览器之外搜索类似的工具,但浏览器实际上是最强大的黑客工具之一,我已很高兴你提到了F12,我也很喜欢。所以,另外一个问题,我不知道你是否在推特上看过这个问题,很多人总是问起导师,不过我知道我的黑客生涯中并不存在一个真正的导师,所以我并不能太多涉及到这个问题,但是我会问其他人,比如说有没有一个导师在去的黑客生涯中帮助过你。
Samuel:我像大多数人一样,我也没有导师带,我希望我有,他可以加快我的学习进程。我也有我非常喜欢的黑客,比如filescripter或frans rosen,这些人真的很棒,我从他们那里学到了很多东西。

Pascal:我想你的意思是说你会看他们写的一些文章之类的东西,所以这并不是真正的指导,你并不能从他们在互联网上发布的内容中学到很多。是的,指导是很困难的,因为每个人都很忙,你真的没有很多时间来指导别人。
Samuel:不过我不确定这叫什么症状,有一些症状就像。

Pascal:我想你的意思是冒名顶替综合征(我认为就是大佬装萌新)。
Samuel:是的,很多人认为自己不值得成为别人的导师,我也是如此

Pascal:是的这是行业中的一个大问题,但我的意思是,如果看你已经提交的漏洞报告,你已经证明你非常聪明。 我知道很多人都有这样的想法,我认为人们需要把这种想法从他们的头脑中驱除出去,就像你一样,你很聪明,你知道很多,所以只要在那里帮助别人就可以了。
Samuel:这是个无法解决的大问题,我试图告诉我自己很聪明,但我并不相信

Pascal:我百分百确定你很聪明,所以你必须相信自己。最后,谈到新的黑客,如果你对新的黑客有一个建议,你会告诉他们什么呢?
Samuel:我想我已经回答过了,就是DD。漏洞肯定会来的。只要你足够绝望,你就会最终得到它,因为我真的很渴望成功。事实上,漏洞挖掘的前三个月我没有提交任何一个漏洞,当我提交第一个漏洞时,它假的不像一个漏洞,接下来的几个漏洞就有很明确的信息了,或者我真的不记得了,我尽量不去记这些东西。但我没有,我没有放弃,因为我周围的人,特别是当地的人并不相信我们能轻易成功,因为在新加坡,黑客界非常小。虽然有很多在漏洞赏金上的成功故事,在在我的好朋友spaceraccon之前,新加坡还没有人成功过,所以自然而然地,我就是一个人了,我尝试过说服了一些同事,实际上适合我一起工作的,但最终他们都放弃了,但我没有放弃,或者说我真的很渴望找到我的第一个漏洞。在五个月后,我找到了我的第一个漏洞。在每天下班后花四个小时寻找漏洞真的很累,但我真的很想要,所以当第一个漏洞出现时,我知道可以做到这一点,它给了我信心。

Pascal:你能不能告诉我你在这五个月做了什么,是什么帮助你在这五个月里从不断地信息收集、重复性的测试到一个高危漏洞的
Samuel:其实很多初学者也会犯这些错误,比如他们经常侦察,我也试过侦察,但我觉得我的收集能力还达不到很多顶级黑客的水平,我知道,但我只是愚蠢地一次又一次地尝试。我试着编写自己的代码,但效果并不好。我试着寻找像xss或csrf这样的简单bug,这并不容易 因为我得到了很多重复的东西,所以我甚至试图提交一些垃圾bug,比如速率限制之类的东西。因为我是我以前来自渗透测试公司,所以我们必须在渗透测试中提交那种bug,所以我以为漏洞赏金计划也会接受,但我错了。

Pascal:是的,他们之间区别很大,我在过去的四年里也是一个渗透测试工程师,这是不一样的漏洞赏金和渗透测试是两件完全不同的事情。
Samuel:是的,谢谢你,我有一个转折点要谈,转折点是做别人不愿意做的事情,所以基本上像一个逆向工程的肮脏工作。我发现这对我来说很有效,所以基本上我寻找的是账号认证漏洞,比如你知道通常人们只是立即登录,注册一个账户并登录,然后使用网站提供的功能来查找漏洞,但对我来说,我注册了一个账户,但我停留在认证页面上,我试着绕过认证 是的,我一直在做这种所谓的无聊的事情,但最终我发现了一些有趣的行为,许多厂商都在使用,最后我自己也学会了,比如我知道这对我来说是有效的,我在很多大型程序中黑盒测试中尝试了这种方法,这就是为什么你看到我的错误是相当多样的。

Pascal:关于你提到的通过认证学到的好东西,在我看来,一旦你找到了一些潜在漏洞点,你可能需要花更多的时间,但一旦你找到了一个漏洞,它总是至少是高危的,比如你破坏了认证,这真的很危险,是的,这是一些非常棒的见解,非常感谢你。现在我还有一些问题,当你开始测试一个新的程序时,你愿意测试XSS漏洞还是RCE?
Samuel:实际上,我不测试它,这两个我都不测试。就像我刚才说的,我更喜欢测试认证相关的。XSS因为大多数人都会测试,很多时候我提交的都只是重复的,而RCE,它更加罕见,因为需要应用程序提供的功能,比如像文件上传,如果没有像shrubs 这种容易发生RCE的框架就很难找到RCE,除非你手上有一个0day

Pascal:是的,我们都知道这是最难的,他们并不是那种你每天都能找到的漏洞类型。下一个你愿意合作并分享赏金还是自己得到全部赏金?
Samuel:其实对我来说,肯定是合作,因为我现在并不关心钱的问题。我不是很有钱,但我发现,当一个团队在处理一个错误时,我们取得了成功,这让我有一种满足感。

Pascal:你以前有没有合作提交过漏洞并一起分摊赏金?
Samuel:是的,但不多,我觉得我不怎么合作,因为我现在无法投入我的时间,但如果我有机会的话,我肯定是愿意合作的。

Pascal:你是在迪斯科频道上找人合作,还是在哪里找人合作,特别是现在有了Covet,这样是更加容易还是更加困难了?
Samuel:我也不知道,我认为有一个Slack 这个漏洞赏金论坛,在那里我们可以互相请求操作,那是我经常访问的地方之一。

Pascal:下一个问题,你愿意被列入想被列入Facebook的还是谷歌的名人堂?你能解释一下为什么吗?
Samuel:谷歌,因为谷歌是很多新技术的先驱,比如说他们创造了零信任企业边界,他们也愿意研究新的东西

Pascal:下一个,这是个有趣的问题,你是否愿意尝试黑掉一辆汽车还是一架飞机?你尝试过吗?
Samuel:飞机,不过并没有,因为法律非常严格,尤其是在新加坡

Pascal:是的,我们显然不应该这样做,不过我只是读过这些故事,比如人们发现座位下面有一个usb端口或类似的东西之类的
Samuel:是的,我听到过一些故事,也是关于飞机的可怕的故事,他们使用的是windows xp系统

Pascal:是的,所以对每个人来说,不要入侵飞机,这是不冷静的。好吧,最后一个问题,你 愿意存下你的漏洞赏金给自己买一辆超级豪华的汽车还是买房子
Samuel:我还是买房子,因为新加坡的交通很糟糕,即使你有一辆法拉利或者兰博基尼,你也不可能在任何地方超过80公里,或者是100公里。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐