<small id='b1gcGp3T'></small> <noframes id='Rph571sBc0'>

  • <tfoot id='YovJQ1m'></tfoot>

      <legend id='kyB5fIJ'><style id='3XNT7ZkaPB'><dir id='uKRg3'><q id='CQoc6IUx'></q></dir></style></legend>
      <i id='E0hcH'><tr id='oVfcHZ2Cyn'><dt id='H4a5LrymM'><q id='SatYbV3AN2'><span id='4lBZ'><b id='pE8RLZkXIS'><form id='nVByaZvhXu'><ins id='1kI6Ap'></ins><ul id='ZaJC'></ul><sub id='qVJpXRktZG'></sub></form><legend id='h36LWOEdw'></legend><bdo id='gljtvN3m'><pre id='7Zmt'><center id='m2g6pe'></center></pre></bdo></b><th id='AHv2h'></th></span></q></dt></tr></i><div id='yQeX0'><tfoot id='UhLfr9p1vu'></tfoot><dl id='3lAmF'><fieldset id='CS6uh'></fieldset></dl></div>

          <bdo id='nvS7'></bdo><ul id='lN9p'></ul>

          1. <li id='UacJ'></li>
            登陆

            一号平台pc-【FreeBuf字幕组】HackerOne优异白帽黑客采访系列:Alex Chapman

            admin 2019-10-13 236人围观 ,发现0个评论

            人物介绍

            Alex Chapman(@ajxchapman)是一名有着快13年阅历的资深安全专家,他的首要技能方向为逆向剖析、缝隙研讨和红队安全测验。阅历了Deloitte LLP、Context、Yahoo和HackerOne等多家安全公司之后,现在,Alex想沉下心来做一名全职缝隙赏金猎人(Bug Bounty Hunter),而就在半个多月前,Alex发现了Github的一个高危缝隙因而囊获了$35,000的奖赏。

            Alex的职业生涯中,曾参加了针对各种方针体系的缝隙发现、进犯使用和逆向剖析,还曾为谷歌、Mozilla和VMware等供货商的首要软件产品供给过安全咨询。他有着深沉的逆向工程阅历,可娴熟对干流用户端应用程序和Apple OS X、Windows和Linux等中心操作体系履行剖析。在领导红队期间,Alex曾带领团队成功完成了银行、金融、通讯等范畴的多家客户测验作业,取得了杰出作用;在领导安全咨询团队期间, Alex在多个事例中安排施行,完成了打破方针体系鸿沟,进步内部网络权限和获取灵敏信息的有用计划。

            Alex在DEF CON、Black Hat和44CON等多个安全会议有过讲演,其有意思的讲演有《Bypassing HTTPS & VPNs to pwn your online identity》、《WSUSpect – Compromising the Windows Enterprise via Windows Update》和《Hacking an Internet Enabled Lagomorph》,感好喜欢你兴趣的同学可自行谷歌查阅。

            一号平台pc-【FreeBuf字幕组】HackerOne优异白帽黑客采访系列:Alex Chapman

            观看视频

            看不到视频点这里

            采访实录

            “你最初是怎么接触到安全技能的?”

            我做安全快13年了,刚开始是在大学里,其时为了多学点东西,也为了今后找作业考虑,还能从中有所酬劳,所以就入行了,2007年参加作业时做的是浸透测验工程师。

            我做安全快13年了,刚开始是在大学里,其时为了多学点东西,也为了今后找作业考虑,还能从中有所酬劳,所以就入行了,2007年参加作业时做的是浸透测验工程师。

            “你挑选做白帽黑客的初心是什么?”

            我喜爱安全技能带来的挑战性和多样化,从中也能鞭笞自己不断学习,它既是证明本身价值的方法,也是一种不断磨炼进步自己的途径。

            我喜爱安全技能带来的挑战性和多样化,从中也能鞭笞自己不断学习,它既是证明本身价值的方法,也是一种不断磨炼进步自己的途径。

            “发现缝隙时是什么心境?”

            这要看详细发现的缝隙,如果是低危缝隙那就,就这样吧,很正常…;如果是高危缝隙,那的确能让自己振奋。就像某个周末我发现了一个高危缝隙,那分钟我直接站起来脱离家了,其时几乎不敢信任会存在这种缝隙,就这样我单独外出去漫步,即使回来时分我还不肯信任这个现实。

            这要看详细发现的缝隙,如果是低危缝隙那就,就这样吧,很正常…;如果是高危缝隙,那的确能让自己振奋。就像某个周末我发现了一个高危缝隙,那分钟我直接站起来脱离家了,其时几乎不敢信任会存在这种缝隙,就这样我单独外出去漫步,即使回来时分我还不肯信任这个现实。

            “怎么看待黑客精力和白帽社区?”

            我以为黑客是那种能研究信息体系的人,他们了解的东西或许比体系开发人员还多,所以他们总是能够灵活运用本身常识结合方针体系进行考虑,然后发现一些当时存在的问题。白帽社区对我的帮忙十分之大,在我整个生长进步期内,我都积极参加其间并有所收成。其间一向发起的常识共享精力鼓励驱动了一大批白帽成员,相同也让我获益颇多,所以,我很骄傲能成为一名白帽,也十分侥幸是社区中的一员。

            我以为黑客是那种能研究信息体系的人,他们了解的东西或许比体系开发人员还多,所以他们总是能够灵活运用本身常识结合方针体系进行考虑,然后发现一些当时存在的问题。白帽社区对我的帮忙十分之大,在我整个生长进步期内,我都积极参加其间并有所收成。其间一向发起的常识共享精力鼓励驱动了一大批白帽成员,相同也让我获益颇多,所以,我很骄傲能成为一名白帽,也十分侥幸是社区中的一员。

            “一路走来有值得感谢的人吗?”

            我觉得最重要的是要感谢我的妻子,她一向对我适当容纳,尤其是我打当作全职Bug Bounty Hunter今后,也就意味着有时分赚得多,有时分赚得少。从这点来说,她是我坚实的精力支柱。别的我也从其他凶猛的白帽身上学到了许多,有些是从HackerOne上知道的,有些是经过其它途径知道的。

            我觉得最重要的是要感谢我的妻子,她一向对我适当容纳,尤其是我打当作全职Bug Bounty Hunter今后,也就意味着有时分赚得多,有时分赚得少。从这点来说,她是我坚实的精力支柱。别的我也从其他凶猛的白帽身上学到了许多,有些是从HackerOne上知道的,有些是经过其它途径知道的。

            “为什么挑选做全职‘缝隙赏金猎人’?”

            做全职的话我相对能有更多的弹性,这是我做班时十分巴望的。现在没有太多约束或期限要求,自己想做就做,某天某周或某月时间段内,都可自在调整作业时间。我不主张你学我做一名全职‘缝隙赏金猎人’,我仅仅甩手一博并且它刚好合适我,每个月我都会尽力证明自己的挑选,所以至少现在我还会持续在这条路上走下去。

            做全职的话我相对能有更多的弹性,这是我做班时十分巴望的。现在没有太多约束或期限要求,自己想做就做,某天某周或某月时间段内,都可自在调整作业时间。我不主张你学我做一名全职‘缝隙赏金猎人’,我仅仅甩手一博并且它刚好合适我,每个月我都会尽力证明自己的挑选,所以至少现在我还会持续在这条路上走下去。

            “有什么值得保藏的缝隙纪念品,用缝隙赏金购买过什么好物?”

            我比较喜爱的纪念品要算HackerOne奖赏的一个水瓶吧,我每天都会随身携带放到桌子上,对它爱不释手。由于我是把缝隙测验当作业来做的,所以赏金便是我的薪水。现在最大的开销,应该是我的房子吧。

            我比较喜爱的纪念品要算HackerOne奖赏的一个水瓶吧,我每天都会随身携带放到桌子上,对它爱不释手。由于我是把缝隙测验当作业来做的,所以赏金便是我的薪水。现在最大的开销,应该是我的房子吧。

            “对新手白帽黑客有什么主张?”

            2019年的缝隙发现整体相对比较困难,在这个过程中你需求去学习了解一些好的资源或技能,在这里我引荐hacker101的CTF训练营,我就曾在上面进行过通关测验,并从中学到了许多东西,因而我引荐新手们能够去学一号平台pc-【FreeBuf字幕组】HackerOne优异白帽黑客采访系列:Alex Chapman习这个栏目,我觉得不论你是阅历丰富的安全专家,或是资深工程师,都会从中有所收成。别的要学会从体系事务的视点去看待缝隙,这也是一个十分重要的才能,比方当你发现某个重要的技能性缝隙时,或许它具有的事务性要挟相对较低,所以此刻你就要十分了解方针体系的事务功用了。因而,对挖洞者来说,十分重要的一点是,要学会从技能和事务视点去解说你的缝隙发现,这样才能让你的上报缝隙贴合厂商需求。对我来说,我曾经是一名浸透测验工程师,我也曾帮忙运转过缝隙众测项目,并在众测渠道作业过,现在转型成为全职’缝隙赏金猎人’,所以我在各方面都有了解的进程和阅历。比方,做浸透测验作业对我的进步十分之大,它形成了我的中心常识库,但从参加众测项目的运转作业中我也学到了十分之多的阅历和视角,现在我为了持续全职’缝隙赏金猎人’,有必要坚持不断进取学习。其实关于做安全的人来说,学习始终是本身的中心驱动,俗语说的好:活到好,学到老。我会一向坚持学习下去。

            2019年的缝隙发现整体相对比较困难,在这个过程中你需求去学习了解一些好的资源或技能,在这里我引荐hacker101的CTF训练营,我就曾在上面进行过通关测验,并从中学到了许多东西,因而我引荐新手们能够去学习这个栏目,我觉得不论你是阅历丰富的安全专家,或是资深工程师,都会从中有所收成。别的要学会从体系事务的视点去看待缝隙,这也是一个十分重要的才能,比方当你发现某个重要的技能性缝隙时,或许它具有的事务性要挟相对较低,所以此刻你就要十分了解方针体系的事务功用了。因而,对挖洞者来说,十分重要的一点是,要学会从技能和事务视点去解说你的缝隙发现,这样才能让你的上报缝隙贴合厂商需求。对我来说,我曾经是一名浸透测验工程师,我也曾帮忙运转过缝隙众测项目,并在众测渠道作业过,现在转型成为全职’缝隙赏金猎人’,所以我在各方面都有了解的进程和阅历。比方,做浸透测验作业对我的进步十分之大,它形成了我的中心常识库,但从参加众测项目的运转作业中我也学到了十分之多的阅历和视角,现在我为了持续全职’缝隙赏金猎人’,有必要坚持不断进取学习。其实关于做安全的人来说,学习始终是本身的中心驱动,俗语说的好:活到好,学到老。我会一向坚持学习下去。

            * 本文视频修改willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

            请关注微信公众号
            微信二维码
            不容错过
            Powered By Z-BlogPHP