【走心分享】白帽成长建议

ASRC网站已上线6年,截止今天,根据排行榜显示2019年有668名白帽为ASRC上报有贡献值的安全风险。

相遇是缘,很多白帽成了朋友。6年来朋友们来来回回,有的成了同事,有的在友商努力,有的变身创业大拿,也有的转行地产销售、网站开发、网红、种水果等。

很多人已经离开这个圈子,祝福他们;更多人还在,所以我们今天想聊下入圈不久的小伙伴们常有的疑惑,白帽该如何成长?尝试从几个角度谈谈抛砖引玉,希望对白帽有所启发。

 

「一」找好方向
方向有什么用?决定了你在碰到一门新知识时,是好好研究它还是随意了解下甚至不管它。

从能力本源讲,漏洞挖掘是白帽的基础能力,衍生出来,白帽一般可以选择三个技术方向成长:

 

1.漏洞挖掘专业方向的深度能力:不管是web还是iot,不管是java还是php,你若能研究透对这个方向滚瓜烂熟总成大牛,其中需要有对代码能力的熟练掌握,也需要对官方文档的详细解读,大多数特性不是靠fuzz出来的,而是懂安全的人读文档发现了设计的缺陷,多掌握几个你就有核武器了;

 

2.漏洞挖掘跨越领域的横向能力:web做多了总会碰到一些app项目,iot的活动也时有碰到,神挡杀神,见招拆招,都研究了一遍之后你发现没有攻不破的系统,只有你还没开始研究的漏洞,跨领域往往会有普遍浅尝则止的问题,建议无论挖什么方向,都往那些能评成高危级别的漏洞看;

 

3.从攻击方转向防御:有时候你会发现有些人根本不懂漏洞,你让他修个xss他屏蔽了alert参数,如果作为防御方,有时你需要把队友的能力尽量低估,而对自己的要求无限放高,这个漏洞若你来修补应该是怎样,安全开发生命周期又该学些什么做些什么,研究多了你就是企业安全防御专家,大多数企业非常需要这样的角色;

 

我们再看企业设岗,对于白帽来说相对匹配的,一般会有基于漏洞本身的漏洞分析研究、自动化挖掘(扫描器)岗位,基于漏洞利用的渗透红队岗位,基于漏洞防御的安全攻防运营&蓝队岗位,以及安全服务专家、攻防社区运营专家岗位。运营是个很广泛的概念,技术运营岗也是技术。

在笔者看来进入一家企业和创业有一个共同点,是你需要找准一个点或一个方向。能力契合相对会顺利一点,能力不够或错位则容易难受。当然创业复杂的多。

 

「二」找对方法
方法是路径,决定了你用什么方式成长。

技术成长的方式很多,但总归来说都是在积累新的方法、经验,总不能挖洞半年还是只会用那几个xss的poc试来试去,成长三要素:学习,实践,思考。ASRC也希望你变得更厉害。成长的几个路径:

 

1.实战成长,找有授权的项目做,SRC的漏洞悬赏、乙方公司的服务项目、众测平台的项目、H1等海外平台的项目,不要做私人的项目防止未授权,做更多新的授权项目或者挖SRC新的域名,碰到无法解决的问题请教学习解决之,卡住了寻找探索新的思路去使用扩展,在这里有一个非常有效的办法就是去看那些公开的漏洞,如何挖的,背后的漏洞原理是什么,寻找的过程是怎样;

 

2.潜心学习,互联网下书籍和文章很多,各种大会的ppt更是满天飞,就像是找一本5000页的书花一段时间消化它,再做个实验实现它,若有一个老师教授,设立一个一个问题去让你研究材料解决,那么会非常快,现在的很多ctf也是这样的路线,只不过有些低质量的ctf题目纯粹是脑筋急转弯的体力活。很多人用闭关一段时间再出来实战再闭关再实战的方式,很不错;

 

3.经验的工具化,让自己的字典更加强大,让poc集更多,让信息收集和利用的过程更加简易,让原来10分钟的事情现在10秒完成,网络安全发展这么多年其实能称之为新的突破的知识其实更新频次是非常低的,但是把所有现有的经验沉淀下来非常不容易,成型的metasploit神器对你来说已经够用,但有些人还会在上面封装一层去优化,让工具更便捷、让渗透更高效。不管你擅长c、php、python或者是java,你都需要思考工具化,ASRC有位大哥易语言贼6。

 

「三」设立目标
职业生涯黄金年龄就那么十几年,之后很难再起。阶段性的给自己一个“胶带”很重要。

做技术理想状态下给自己三年无论在哪潜心修炼摸索实践,三年后一波小爆发。其中设立一些里程碑、进度条。三年完成再下一个三年。

 

实际来看大多人本是平凡人,太长远的目标虚无缥缈,所以回归短期来看,可以以一个荣誉为目标,获得后再争取更高的荣誉;以写一个工具为目标,拥有自己的渗透套件;以一个厂商的严重漏洞、cve等为目标,物质+荣誉;以一个证书为目标,oscp类考试学习成长很大;以一个岗位为目标,看岗位要求努力学习面试。目标必须是为之努力的过程确实能给自己带来能力上的提升,或者拿到后给自己有buff加成的,否则意义不大。

 

是不是有一种玩游戏的感觉,过一关又过一关。职业生涯其实也是一种游戏,掌握游戏规则最重要。

 

「四」找到合适的环境
人与人不同,很多人原本向往大甲方,但真正去了后又离开投入别的事业。就像爱情,总要找到合适的人。

一去甲方,大型互联网公司如阿里往往有很高的天花板资源多足够学习挺久施展空间也很大,为上亿用户提供安全保障,服务上千万商家,如果能力还要成长那先找个公司服务几万用户也不错,但总要来见识下;

 

二在乙方,安全服务工程师大部分项目制,做完赶赴另一个项目节奏感明显,研究团队则能在技术领域钻研较深,乙方有不以结果重导向的环境;

 

三是自由职业,这一点和轻松的甲方及大部分乙方可以并存。五六年前就有人说,做白帽子挖漏洞不长久,其实不然。我们处在信息化飞速发展的时代,每年大型互联网公司中都有数百个创新的项目在等待开发上线,也有无数的功能被更新、代码被回滚,而即使是强如谷歌微软阿里,也总有开发新人换旧人而自带安全技能的开发没那么多,还有无数的传统企业正在经历互联网的洗礼逐渐开启安全的心智上网上云,你不测试总有别人发现宝藏。SRC和众测作为业内成熟的形态,若你在一个圈子玩久了成为核心,总能有更多机会获得更有利的资源,也会认识更多优秀的伙伴互相帮助成长,加入一个团队也是很好的选择。

 

本月初ASRC与先知联合推出了王牌A计划2.0,旨在打造一个更好的白帽社区环境,王牌A简单说是会员体系。

 

ASRC平台获得奖金最多的白帽已经在平台累计获得了200万+的税后奖金, 先知平台的顶尖白帽年入百万。我们给予表现突出的白帽更优的福利,黑桃A可以额外获得100%,且能参与大部分先知私密项目,但是获得难度也非常大。

 

王牌A意味着什么?用奖励简单说,黑桃A意味着月入30万的能力,红桃A意味着月入5万的能力,方块A意味着月入2万的能力。当然这只是baseline,大多方块月入远超。王牌A们聚在一起,战斗力爆棚!

除了上述这些,认识一些安全圈的朋友,多见识见识参加一些会议甚至BlackHat,有较好的英语-国际化能力与外国黑客互动,都能为成长带来一些非技术的成长。如果你是社区核心,有时不需要你主动寻找去参加,像1月10日阿里白帽大会都会主动找阿里核心白帽来与其他白帽一聚。有朋自远方来又能倾听学习猪猪侠、jkgh006、二哥gainover、顶尖白帽小灰灰的卓越演讲,参与讨论了解别人的故事集思广益说不定能为你来带新的成长,不亦乐乎?不沉迷此道即可。

 

安全已经不是几年前那种靠一点技术脑门一热就能博眼球show技能搞pr的时代,今年是一个节点,如今硬碰硬的对抗无处不在,唯有沉心修炼循序渐进方能开云见日修成正果。

(完)