Sec Hotspot 首页  收藏本站  技术博客  RSS
统计信息
已收录文章数量:6681 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
蚂蚁单个漏洞13.2万元,又一个高额奖金得主诞生!
本文来自公众号:蚂蚁金服安全响应中心   2019.12.02 10:02:23


喜 报


Lakes

获得AFSRC高额奖励

单个漏洞12万元!


(是税后到手12万哦~)

此次漏洞是一个越权漏洞

定级为严重

积分1200分

(即1.2万元)
额外奖励12万元
总计13.2万元!

恰巧Lakes也是我们12月的封面人物


江湖人称白帽大师傅

2017年补天众测漏洞总金额TOP1

2018年补天众测漏洞总金额TOP1

2018年蚂蚁金服SRC的TOP8

2019年12万越权漏洞奖金得主

让我们一起来看看

一次性获得12万额外奖励的Lakes

又是怎么成为一代大师傅的吧


80后白帽大师傅

大学时期竟然黑进教务系统?


“我是80后,现在接触的白帽都是95后,老了老了”Lakes从入圈到现在已近数十年,“我们那时候家里没电脑,都是去网吧的,而且网络环境特别差,各种盗号、弹窗广告。当时,我在玩儿游戏,突然就弹出一个‘黑客联盟’的广告,习惯性地就想关了,但那个背景音乐,有一种即将奔赴战场,匡扶正义的气势磅礴,就是那种被召唤的感觉……鬼使神差地就点进去了……”我们总说, 白帽身上有一股侠气和使命感,单骑退雄兵,扫尽天下不平事,Lakes自然也不例外 。自此,Lakes下定决心自学黑客技术。


“学习条件和现在比起来,要差很多了。全靠图书馆借书,很多名词不懂,也没人教,就一个接一个地网上查资料,红黑联盟上有许多技术分享,不过都是纯英文的,就拿着字典一点点的查,一字一句地去理解国外的技术。”熬夜研究技术的夜晚是孤独的,一个人坐在电脑前,低头看着一个个字符,抬头看着夜晚的星空,神秘宇宙浩瀚无边,而Lakes的征途是星辰大海啊 ,只要日积月累,总有发光发亮的那一天。


因为早年接触了黑客,Lakes大学干脆选了计算机,“大学的时候还悄悄进入学校的教务系统,就是想提前看看自己的成绩,当时特别紧张,但在查看成绩的最后一步还是放弃了”可能就在那个时候,Lakes内心已有了黑白之分。“之后慢慢开始就接触了网安,大学比较空,就一边学专业课,一边业余研究网安的东西。说实话,在别人看来日子可能过得挺枯燥的,但那时候就一股劲儿上来了,就想了解透了,也因此积累了不少知识。没想到,最后找工作的时候还帮上了忙。”


2008年,Lakes大学毕业,恰逢金融危机,找工作成了大多数应届生的老大难。“在学长的推荐下,去面试了一家网络安全公司,一开始其实没报多大希望,但对方问的问题,恰巧都是我大学期间业余研究过的东西,全在射程范围内哈哈,这才算正是踏上了挖洞的路。” 机会总是留给有准备的人,那些伏案夜晚的孤灯,终将变成人生道路上的盏盏明灯



“工作之后,除了黑客联盟,我还接触到了很多其他的网安组织,当时的补天很火,我也参与了其中的众测活动,和大家一起努力挖洞的感觉真的很不错” 2017年加入补天,当年获得了补天众测奖金的TOP1,还被人尊称一声“大师傅 ”,问及成功秘诀,Lakes似乎有点害羞,“可能是我年纪大一些,工作经验相对丰富,现在的年轻白帽都特别厉害,技术上完全不亚于我们这些‘老司机’,真要分享什么的话,很简单,就是坚持。很多新人往往都在很接近漏洞的地方就放弃了,一定要坚持,肯定会挖到的。”


蚂蚁金服SRC

挖最难的洞,赚最多的钱


“我是17年的时候接触到AFSRC的,业内都说蚂蚁的漏洞难挖,但是奖励也很高。说实话,我就不信邪,试了一下发现,我去,是真的难啊”。问及有没有想过放弃,“放弃啥?先不说挖到了钱多不多,单单就这技术挑战,都让人兴奋啊。”随后的一年,在蚂蚁金服SRC里Lakes的身影并不像他在外面那么耀眼,直到2018年。


2018年,Lakes直接挖到了一个高危漏洞,冲上年度TOP8。

那次高危还有点小插曲,一开始给我评定的是中危,我觉得不合理。因为在我看来,数据量够大,泄漏的数据类型也比较重要的,应该是可以判定为高危,所以就想提出一些自己的看法和理由,向蚂蚁金服SRC提出了仲裁。但其实当时就是想表达一下我的观点,没想过会改变什么结果,因为其他平台要么就是没有仲裁,要么就是没有回应的。没想到我提仲裁之后,蚂蚁迅速就响应了,1天?还是2天内?不记得了,反正特别快。还请来了5个专家重新对这个漏洞进行判定,再通过公开投票的方式选出结果,最后把那个漏洞评级改为高危了。这个反应速度和公平判断是我之前完全没想到的,心服口服。

蚂蚁的洞不好挖,但只要挖到,付出多少努力,就可以获得多少回报,保证公平。 今年,Lakes又挖到了一个越权漏洞,获得了蚂蚁金服SRC12万的额外奖励。



挖洞是使命感

一定会营造一个更安全的网络氛围


“和我同期的朋友很多到现在都不继续挖洞了,现在可能只剩下我一个……他们觉得搞技术不能搞一辈子,也经常劝我转行,但是我觉得我是真的喜欢挖洞,严格来说,挖洞只是某一种手段,就觉得 通过一次次漏洞挖掘,一次次技术攻破,可以营造一个更安全的网络氛围,去保护一些人 。”和Lakes聊天的过程中,总觉得他是一个正义感、使命感非常强的人,特别有一种过去路见不平,拔刀相助英雄侠客的感觉。其实网安的路,道阻且长,要耐得住寂寞,要守得住本心,要充满热情,也要保持冷静,有很多像Lakes一样被召唤进网安圈的侠士剑客,在这一方战场上,挥斥方遒,也希望有更多年轻人可以加入进来,一起共闯网安江湖。



采访结尾,作为业内“大师傅”怎么也得让Lakes对新人白帽说几句,Lakes却表示:“真的没什么说的,现在他们的技术都非常牛,而且又总是充满了活力与好奇心,对于未知的东西他们都会尽最大的努力去尝试,这往往就会诞生很多意外的收获。老白帽和新白帽都是互相学习、互相帮助的一个过程,只有这样网安的圈子环境才会越来越好。”被我们逼得不行,Lakes这才有了以下几点分享:


1. 要坚持,不能三天打鱼两天晒网,不能因为这两天没有看到漏洞就放弃,要学会温故而知新,坚持每天都去看,说不定你就会有新发现,上天也会给你一些惊喜。


2. 要拓宽自己的途径和渠道,不同领域不同行业的知识储备和技巧的学习都是必要的。


3. 要学会整理自己的思路,多总结多学习,看过文章和资料后,可以按照套路去真正实操一下,往往都会取得不一样的收获。

END

SRC小姐姐往期推荐

TOP白帽不为人知的感情
网瘾少年的逆袭
不是书呆子的学霸不是好白帽