Zhi Wei Eugene(@spaceraccoon),24岁新加坡人,2018年毕业于耶鲁大学计算机系和历史系,现服役于新加坡武装部队通信指挥连,拥有OSWE(Offensive Security Web Expert)和高级React认证,并持续在Udacity和Hacker101完成了全栈Web开发课程和Web CTF学习,Zhi Wei Eugene具备流利的中文、英文和马来语听说能力,在HackerOne平台上报的有效漏洞为174个。
2019年8月,Zhi Wei Eugene发现了星巴克网站的一个SQL注入漏洞,通过该漏洞可以获取星巴克内部包括税收、收据和工资信息在内的所有财务数据,收获了$4,000奖励;2019年10月,在新加坡政府和HackerOne合作的漏洞众测比赛中,发现了9个新加坡政府网站漏洞,囊获了US$8,500美金的奖励;2019年11月,Hackerone与美国空军、英国国防部和Verizon Media于洛杉矶举办了H1-213比赛,发现某高危漏洞获得了最具价值黑客荣誉(MVH)。非常热爱学习,并热衷于应用安全和用户数据安全方面的研究。
“最早你是如何接触到黑客技术的?”
这缘于新加坡新加坡政府科技局(GovTech),因为我是新加坡人,新加坡政府科技局和网络安全局有合作,他们当时举办了一个漏洞众测项目,我也就参赛了,上报了一个漏洞被评定为重复报,有点失望,但我下定决心之后要好好表现。所以自此我加入了hacker101,在线随老师Cody Brocious做完了所有的CTF题目,钻研了所有我想学习的技术,三个月后我收获了人生中的第一笔漏洞赏金,第二个月又什么都没发现,但之后每个月都有所收获,慢慢开始有起色,所以我希望自己能,继续坚持保持动力。
“发现漏洞时是什么感受?”
太美妙了,呵呵,因为我还是一名应征服役的士兵,平时没太多时间做漏洞测试,只会在每周末回家的日子,有三个晚上自由时间才能摆弄电脑,那个时候我就会想,多去以不同角度测试一些不同漏洞,若一有发现,那种感觉非常开心。因为每晚我只有不到三小时的时间,如果能发现漏洞,确实对自己的白帽之路是种鼓励。
“用漏洞赏金购买过什么好物?”
我觉得我用赏金买过的好物应该是……,它给了我一些自由支配空间,我是一个有同情心的人,我把它捐献给了我国的一个爱心组织,以此去鼓励更多的人学习科技知识,比如一些未得到充分代表的人群和少数民族。这只是我尽我的绵薄之力而已,但我知道好多白帽非常慷慨,他们更愿意出钱出力去帮助那些有才的后起之秀,让他们能投身于网络安全行业。
“你如何保持动力?”
做为一名士兵,服从纪律就是天职,但是平时我又时间有限,只有在周末或是节假日回家才能做漏洞测试,所以我必须充分运用空闲时间,如果选定了一个测试目标,就会坚持一步步开展,我觉得这种良好的自律习惯也是我在部队学习养成的。
“你为什么选择HackerOne平台做众测?”
一开始是因为hacker101的缘故,我是由它而认识了HackerOne平台的,虽然我注册了其它众测平台,但hacker101能让我直接关联到HackerOne平台,而且在我完成了所有的在线CTF题目后,它还会推送一些HackerOne的邀请测试给我,所以从那个时候起我就认定HackerOne平台了。
“做漏洞测试遇到过什么好运?”
因为我的第一个有效漏洞是IDOR类型,我一直感觉我与IDOR漏洞比较有缘,这种感觉就像大多数白帽黑客各自擅长于发现某些漏洞类型一样,由于IDOR漏洞是我的第一个有效漏洞,至少我认为它是开启我漏洞测试的一个转折点吧。
“对新手白帽有什么好的建议?”
我只想说的是,漏洞众测社区的力量非常强大,做为个人来说不要闭门造车,在自我学习钻研的同时,你还可以借助社区力量,比如多学习学习hecker101资源,去Twitter浏览安全信息,遇到问题多与其他同行交流学习,我认为大多数人都会乐于伸出援手帮助别人的。
*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!
* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM