【白帽十问】热血青年勇闯网安“江湖”

百家 作者:平安安全应急响应中心 2022-05-05 19:06:42
白帽子,号称网安世界的赏金猎人,在网络安全的世界自成一派。


有一位白帽子误闯网安的江湖,成为千百白帽子的一员,用一颗不停学习的心在努力着。他有着青年人的那份朝气,也有着那独一份的沉稳。一来到PSRC就冲进了Top榜单,接下来让我们一起看看他的挖洞故事。


嘉宾介绍:

it4chi,主要做红队测试,相对于web来说较为擅长内网渗透、域渗透,业余时间挖src提高web渗透能力。


Q&A


1、谈谈个人的基本情况


it4chi,渗透测试工程师,毕业于成都信息工程大学,目前就职于乙方公司,多次参加国家、省、地市护网活动,获得省级、地市级一等奖,业余src白帽子。


2、你是如何理解红队和渗透测试?


深度和广度的区别吧,红队更执着于getshell进入内网,获取更深层次的信息、数据,渗透测试更注重单一系统的脆弱性,需要尽量多的发现各种类型漏洞。


3、什么促使你开始挖洞的?


始终做红队,只关注如何用通用漏洞快速打点,逻辑漏洞、隐私合规、数据安全等都了解的比较少,Web技能开始缺失了,希望在这些方面上能得到更多的锻炼,业余挖挖SRC,挖洞获得的钱比较少。


4、你是如何知道PSRC的?


以前面试过平安,关注了PSRC公众号,看到有活动就注册账号参与了。感觉还是运气不错,算是挖洞获得的最好成绩了。


5、印象最深刻的一次挖洞经历是?


其实就是PSRC这次能getshell,根据接口的各个功能来组合利用,最终猜到路径。猜路径,猜了3天才知道,各种报错,最后才正确。


6、用四个字评价自己?


希望自己:虚心好学,人生的不同阶段都需要学习,活到老学到老吧!


7、这个行业(领域)你最佩服谁?


勤奋专注的师傅们都很佩服,能耐得住寂寞审计代码、研究各种攻击手法,3gstudent,phith0n等。3gstudent,他算是我的内网渗透的启蒙导师,刚入门的时候一直在看他的文章学习。


8、第一份工作是?对你有什么影响?


算是科班出生,大学就是信息安全(选专业的时候还不知道这是干啥的),第一份工作是做渗透测试,一开始就接触的内网渗透,导致代码层和逻辑漏洞比较弱,算是决定了我的工作方向,打算一直做下去。


9、你是如何提升自己的能力的?有哪些学习渠道或建议给其他同行


逛各类安全论坛,跟踪最新的漏洞,搭建环境;多实践吧,对于确定有洞的情况不要因为waf或者漏洞太复杂轻易放弃,做到漏洞最大化。


10、最近几年你觉得对自己成长最大的收获是?


对于hw、渗透测试、实际攻击有了比较充分的认识;专注于某件事或者某个方向,不要半途而废。



相信有不少白帽子都和it4chi一样,

他们拥有热情、思考和沉淀

为平淡且枯燥的生活带来一抹不一样的色彩


无论如何,

选择一条自己的路,坚定的走下去

对自己有清晰而明确的要求,

不断成长,不断进步,

终也算是不浪费这美好时光了



往期回顾:

·【白帽十问】1个漏洞5万元,他是怎么挖到的?

·【白帽十问】意外闯入安全圈后,他成了挖洞大佬

·【白帽十问】“2分”天才白帽的成才之路

·【快问快答】PSRC季度Top1白帽挖洞的那些事儿



球分享

球点赞

球在看

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接