360安全应急响应中心的奖励方案详情:
https://security.360.cn/News/news/id/134.html
近来有很多小伙伴向我们寻问,谁获得了旅游大奖?目的地是哪儿?经过我们缜密核算,最终确定了Xsseng 获得了2017年第一季度旅游大奖,360SRC也将兑现承诺,送给他一次两人境外游的机会,不知道Xsseng要带谁一起开始一场说走就走的旅行呢?
除了要送给Xsseng我们的季度奖励,我们也为Xsseng准备了一些小问题:
Q:感谢Xsseng接受我们的采访,首先祝贺你获得了我们的首期季度奖励,能不能先简单地介绍一下自己呢?
A:大家好,我是林章,在福州某高校读大二,专业是信息管理。目前以学业为重,同时在课余时间挖掘漏洞,大部分时间都是给360挖掘漏洞,今年是在360挖漏洞的第三年了。表示获得第一季度的季度奖励很兴奋,接下来会争取今年拿到2-3个季度奖励〒▽〒
Q:哈哈,也希望林章同学可以在挖洞之路上越挖越深。这次获得季度奖励,有没有什么想去的地方,会和谁一起去呢?
A:大概是去日本吧,不知道可不可以。会和舍友或朋友一起去……第一次获得季度奖励,还没有准备好要去哪里玩→_→5-7天的时间,我可能安排在暑假或国庆,所以还没想好啦。
Q:当然可以啦,确实,5-7天的游玩确实需要好好安排一下。接下来分享一些挖洞的经验吧。
A:我挖掘漏洞会从3个点来挖。一个是新业务,第二个是新功能,第三个是测试中可能忽略的地方。
新业务就需要对企业的关注了,比如我会从服务器,新闻,域名三个方面对新业务进行挖掘,往往在新业务中存在较多漏洞。
新功能的话就比较简单了,一般会定期关注一些体量大的业务,比如360搜索,360游戏,不排除存在新功能不提测就上线的情况。
还有就是测试中会忽略的地方,我会针对一些可能存在逻辑漏洞的地方进行测试,比如支付阶段,登录阶段,在这些里面我挖掘出的支付漏洞是比较多的,比如这个季度就有订单支付漏洞。
最后我会对各个网站开发环境逐个进行记录,会在挖掘漏洞方面花费很多时间。
Q:果然优秀的白帽子都会有自己的一套方法。那对于新人有什么建议吗?
A:新人加团队,可以更快的了解360,挖掘起来也会事半功倍,比如我们团队…
Q:希望能对360SRC提出一些建议。
A:希望下次把季度奖励的可选旅游线路发布出来,同时也希望360SRC能开放个人主页功能。
感谢Xsseng接受我们的采访。同时也感谢所有为360SRC提交漏洞的白帽子们,正是你们,用正义的心,纯粹的追求,实际的行动,守护者万亿用户的网络安全!
白帽子的世界,没有华丽的舞台,没有闪亮的聚光灯,没有不停地换装,也没有热情的观众,有的只是卓尔不凡的安全团队和尽忠职守的白帽子伙伴们,他们始终信奉自己的理念,坚持自己的追求!
再次郑重地感谢每一位为360SRC提交漏洞的白帽子和每一位在暗处守护网络安全的安全卫士!同时也期待更多有志于网络安全的新人加入到360SRC,一起为一个更安全的网络环境而努力。
欢迎更多朋友们前来360SRC打榜,赢取季度奖励。