年挖漏洞1447个补天平台年度冠军的成长之路
正如《哈利-波特》电影中,每个一年级新生入学时都需要戴上分院帽,以确定进入哪个学院。在黑客的世界中,黑帽和白帽的称呼分别代表两种对立的角色——以网络信息牟利的恶棍和保护网络安全的英雄,“漏洞”是双方攻防的焦点。5月29日,补天白帽“小天之天”凭借个人2018年度挖掘漏洞1447个的战绩,摘下了2019补天白帽大会颁出的最具公益能量奖桂冠。
白帽子世界里,有误打误撞凭着兴趣进来的,也有科班出身学以致用的,“小天之天”属于后者。90年出生,天津理工大学硕士,研究方向网络安全,现在任职某生鲜公司安全攻防实验室负责人,负责该公司内外网安全,模拟黑客攻击和前沿漏洞研究。
“小天之天”在补天上属于大神级的人物,尤其在2018年度更是大放异彩,个人年度挖掘漏洞总量排名第一,总计1447个,相当于每天挖近4个。 “漏洞之所以挖得那么快,是因为我有自研的漏洞扫描器。2015年我就开始研发这个工具了。它实际上就是把漏洞过程中的经验、做法代码化。基本上每个白帽子都会自研漏洞扫描器,也就是都有自己的独门武器”。
2015年正是“小天之天”加入补天漏洞响应平台的年份。那一年开始,“小天之天”在漏洞挖掘路上一路 “升级打怪”,个人“段位”也不断提升。“我自研的漏洞扫描器到现在已经迭代了7版”。
作为国内最大的漏洞检测和响应平台,补天白帽子提交的漏洞很受厂商重视,厂商及时修复了漏洞,避免了信息泄漏。白帽子的卓越贡献也使得补天平台的权威性不断提升,吸引了政府、互联网、金融等多个行业的数千家企业进驻。这使补天成为白帽子们“武功”和实现价值的最佳场所。“补天为白帽子搭建了提交漏洞的平台,帮助白帽子提升技术水平,培养法律意识。以及和其他企业的src相比,补天作为平台更能公正的评判漏洞危害和保护白帽子的权益,避免了一家和不公正待遇”。
正如“小天之天”感受到的,补天平台在公益属性基础上,以互联网众包的方式汇聚白帽子的安全能力,实现漏洞的发现与修复,维护企业网络安全、解决数据泄露隐患、培养网络安全人才。这给白帽子提供了最好的安全保障和价值平台。
除了搭建起企业和白帽子之间连接的桥梁,补天也给白帽子们提供了交流和成长的平台。“小天之天”最崇拜的人是补天白帽子holoboy。“我们是在补天认识的,没有见过面,但是交流很多。他不拘滞于世俗,只沉浸于代码审计。”
对于未来,“小天之天”希望能够为目前供职的公司建立起蓝军攻防机制,同时,在业余时间戴着自己的魔法帽,运用自己的正义“魔法”,更多地发现企业的漏洞,为社会做出更多的安全贡献。