安全路透社
当前位置:安全路透社 > 网络转载 > 正文

【WitAwards 2016“年度安全人物”参评巡礼】论武功,何知边和高:专访AFSRC TOP白帽子“咖啡”

* FreeBuf官方出品,本文作者:kuma

其实白帽子并非都是人们印象中,那群躲在不见天日的房间里整天对着代码的“技术宅”。蚂蚁金服安全应急响应中心(AFSRCTOP白帽子——咖啡的生活除了挖洞之外,是做电商。这是一个生活规律的好青年——每天8点起床,夜间0点前入睡。但他似乎是又个相当神秘的人,很热衷于躲闪我们提出的许多问题,不仅对自己的私生活点到即止,对于自己提交的那些漏洞也不愿透露细节。

于是我们也很难从他口中得知,他平常除了挖洞的时间究竟在做些什么,除了他的那些个人爱好:滑板、钓鱼。我们只好在可知信息极为有限的情况下,期望还原这样一个白帽子。 

咖啡勋章图.jpg

在AFSRC荣誉排行的年度排名中,咖啡目前排在第一位。  

能够取得如此成绩的人,想必对安全有非常深入的了解——这种认识也让我们一开始先入为主地认定,咖啡可能是个将挖洞作为事业的人,但实际情况他只将挖漏洞和研究安全单纯地作为他的兴趣爱好——这大概也是现如今绝大部分白帽子的常态。

走上不归路

咖啡与漏洞的结缘,似乎与其他人不太一样。上学时,咖啡学的是电气自动化专业,与安全并无太大关系,当时的他也完全没有往这方面发展的想法。真正开始接触这一块,是在2011年。

“2004年我有了一台电脑,当时去买了一些关于计算机类的书,买回来后看不懂然后一直放着。2011年的时候偶然翻到这些书,然后从此走向了一条不归路。”

翻到这些黑客相关的书籍后,咖啡对黑客技术产生了兴趣。之后,咖啡注册了各类相关网站,他觉得黑客技术并不难而且很有意思。在t00ls等论坛的熏陶下,咖啡的知识储备渐渐丰富起来。于是在2012年1月30日,他在乌云提交了第一个漏洞。2012年8月29日,咖啡在腾讯安全应急响应中心TSRC提交了自己的第一个高危漏洞,并且得到了100Q币。虽然当时的奖励没有现在这么多,但是这么一笔“收入”让咖啡觉得很有成就感。

2013年,各种数据泄露的新闻频频爆出,咖啡开始学习无线安全相关知识,但是整体技术停滞不前。这一年过后,咖啡开始学习Web开发过程,他发现自己对Web安全比较感兴趣。2014年11月24日,咖啡在漏洞盒子提交了第一个漏洞。

2015年,咖啡在漏洞盒子和其他一些SRC上,挖了很多漏洞,而且这一年各大平台似乎都提高了漏洞的奖励,咖啡通过提交漏洞获得了不少的奖金。与此同时,闲不下来的咖啡又对移动安全和代码审计方面产生了兴趣,于是又开始学习这一块。今年呢,除了提交漏洞外,咖啡还在研究漏洞的成因和修复漏洞的方法。空闲的时候,咖啡还会写写代码,他认为这一块也不能荒废。

从他的语气听来,他与漏洞的缘分完全没有传奇的成分,不过只是凭着自己的兴趣循序渐进罢了。谈到自己的学习心得时,咖啡淡然地表示,自己每天学习一点点,再加上与他人的交流,仅此而已。这样日积月累,咖啡的名字在各大平台的排行榜上越来越靠前。

斩获AFSRC第一

“今年的话,大概是2月份吧,蚂蚁金服那个出来了,就看了下。当时在微信上看到在转发,我就进去看了一下,其实我并不是第一批在蚂蚁金服上面开始挖的,当时是听别人说到,才过去挖漏洞的。

言语间,咖啡算是个相当随性的人。不过开始在AFSRC上挖漏洞后,咖啡就迅速提交了几个高危漏洞。没想到在今年一季度最后,被美女白帽子暗狐赶超。据说暗狐当时提交了一个漏洞就获得了相当高额的奖金(应该是11.1万)。第二季度的头两个月提交了几个漏洞后,咖啡又去忙起了其他事情,成绩也就没有延续。这样第二季度的最佳也被暗狐夺走。第三季度,提交了几个高危之后,咖啡终于拿到了第一,这回的确是实至名归了。

咖啡认为AFSRC对技术的要求比较高,对自己的成长也有较大帮助。咖啡谈到他前段时间在支付宝上面挖到的一个漏洞:原本发现了某个漏洞,却又担心漏洞太小,再经深度挖掘造就了其“高危”属性。据他所说,这个漏洞大致上是在支付宝给他人发送个链接,对方点击该链接后,咖啡就可登录对方账号。这个漏洞在实现方式上比较难,咖啡也是第一次遇到,因此觉得相当有成就感。当然咖啡不愿透露漏洞的详情,即便这听起来还真是个“诱人”的漏洞。

“对漏洞感知能力很强”

能够从貌似低危的漏洞挖掘出“高危”属性,咖啡似乎对漏洞有着一种独特的感知能力。而这一点也正是咖啡所属团队Shadow7成员cnsolu对他的评价。我们很好奇这种独特的感知能力具体还表现在哪些方面。

“他们说的应该就是我的执行能力吧,通常我有了一个想法之后,就会立刻去执行,试验一下。有思路之后,就会去尝试,证实它。比如说,几年前的一些漏洞,时间比较久远,但是还一直存在,我就会用自己的方式去使用它。我每天都有关注相关的信息,如果想用某一个漏洞,会去看一些之前的信息,根据之前存在的问题,可能会找到一些新的利用的方式吧。”

说到底还是日常的积累,才有临时起意的想法和实践。咖啡表示,自己在挖漏洞和研究安全技术方面,花费的时间也不少,每天晚上一般会花上3个小时研究安全技术或者挖漏洞。漏洞挖得多了,咖啡还得出了一些自己的经验:比如说,漏洞盒子上的众测刚开始时,大家提交的速度很快,咖啡提交时会尽量精简信息赶紧提交,以防跟别人撞洞;等到第二天,提交的人少了,咖啡会继续寻找漏洞,并且提交时会将修补意见等详细信息补全。如果在业务成熟的SRC上挖漏洞,咖啡则会凭借自己的经验,略去一些传统的漏洞,针对性地寻找自己认为值得挖掘的地方,这大概也是“漏洞感知能力”的一种体现。

除了自己平时的钻研和实践外,咖啡的知识储备也离不开团队成员之间的学习交流。他们甚至搭建了一个平台来发布技术文章,交流意见,互相学习。据咖啡介绍,团队的大多数成员都是安全行业的从业人员,大家都有各自擅长的领域,有新浪微博SRC的,也有在优酷的。大家在一起的探讨交流也给了他更多的启迪。

一不小心就开网店了

以上所说的实际上都算得是咖啡的夜生活。虽然挖漏洞有钱赚,又是兴趣所在,咖啡似乎没有打算把它当成主业。他认为这种收入还是比较不稳定,如果能白天工作,晚上挖漏洞,才是比较理想的状态。白天的他基本上都在筹备自己的网店。再过两个月,咖啡的店就要上线了,大家到时候也可以去围观。

其实咖啡也还在摸索自己的职业道路,电商并不是他最终的选择,他依然会把漏洞挖掘和安全研究当成一个重要的业余爱好继续下去。

“我现在在做电商这一块,和朋友在做电商。做的是皮草这一块的,就是服装,主要做的是跨境电商,在全球速卖通。之前一直在准备、调研,从今年的10月1号开始做这个。现在对这个比较感兴趣,可能未来一两年就会继续做这个。如果做一年感觉不行了,我可能马上转,转做安全。

除了挖漏洞和安全研究之外,咖啡平常的兴趣爱好比较广泛,包括滑板、电影、足球、做模型等等,周末时间也会和朋友一起打主机游戏、钓鱼、打桌球,晚上自己也会出门跑步,似乎是个热爱生活的青年。来看一眼他的真容:

咖啡头像.jpg

这是唯一一张他愿意传给我们的照片……

咖啡的这些业余爱好似乎都要占据较多空闲时间,这也许是他单身的原因。在AFSRC的征婚帖发出后,有没有什么变化呢?

“加我的人都是男的,跟我聊的都是’求带’、’求教怎么挖漏洞’。”

说起这点,咖啡也是很无奈地笑了笑,所以妹子们可以关注下哦。我最后还八卦了一把,问他喜欢什么样的女生。他也只给了一个简单粗暴的标准:话少的。果然和他神秘的风格好搭。

白天电商,晚上挖洞高手,喜欢安妮·海瑟薇,爱玩滑板,生活规律,还喜欢保持神秘——这就是AFSRC第一的咖啡。

* FreeBuf官方出品,本文作者:kuma

未经允许不得转载:安全路透社 » 【WitAwards 2016“年度安全人物”参评巡礼】论武功,何知边和高:专访AFSRC TOP白帽子“咖啡”

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册