我发现了3572个漏洞 今天又是崭新的一天

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

Eric Head (@todayisnew)认为自己是AppHero。他赶会在犯罪分子利用之前，找到这些严重漏洞。他是一名道德黑客，在HackerOne排行榜上霸占第一，声望值为71078，迄今为止共找到3572个漏洞。他获得Adobe、Verizon Media和PayPal等厂商的137次致谢，因此其技术水平可见一斑。

除了是一名优秀的白帽黑客外，Eric 的积极态度颇具感染力，他呼吁关注黑客的心理健康状况。如果你曾接触过他，那么就可能会难以忘记他的签名：愿屏幕那端的你，一切安好。这是他关心周边人的方式，也是提醒我们，团结起来才能更强大。

接下来我们一起了解一下这个天赋型白帽黑客的故事。

Q：你为什么会想到给自己起这个HackerOne用户名？

A：多年前，当漏洞奖励计划还没出现时，我的技能让我误入歧途，我在我和雅虎发生法律纠纷，然后需要设置一个新的邮件账户。我起这个用户名是为了尝试从逆境中找到积极的方面：每一天都是崭新的。于是，”Todayisnew”成为我的邮件名，它每天都让我想起那些艰难时日以及之后生活带来的其它挑战。

Q：你是如何发现hacking这回事的？

A：我一直喜欢搞清楚各种东西的工作原理。第一次我觉得应该是在 Renegade BBS 系统上找到一个路径遍历漏洞 ../../data.dat来访问系统用户文件。

Q：你hack的动机是什么？为何想要通过漏洞奖励来hack for good？

A：我们都身在其中。更安全的互联网意味着地球上每个人的安全感和信任感都得到保护。

Q：什么样的漏洞奖励计划是令人兴奋的目标？

A：我自己使用的服务推出的计划总是让人兴奋。涵盖范围广以及奖金丰厚的计划都增加了这种兴致。

Q：你选择参加或不参加某个漏洞奖励计划的标准是什么？

A：沟通起着很大的作用。友好的措辞、同理心和公平的结果都是我继续参加某个漏洞奖励计划的原因。虽然互联网让我们更接近，但我们之前仍然存在距离，因此误解不可避免。我们分享的话语越多，我们之间的连接就更加紧密，出现误解和放弃的机会就越少。

Q：你一次会参加几个漏洞奖励计划？为什么？

A：我一次尽可能多地参加多个漏洞奖励计划。我99%的研究方法都是自动化的，因此一次参加的漏洞奖励计划越多，找到的 bug 就越多。

Q：你如何根据漏洞奖励计划决定优先查找哪种漏洞类型？

A：时间是查找 bug 的一个限制因素。因此对于我首先会向奖金更丰厚的计划发送影响力更大的 bug。

Q：你如何保持对最新漏洞趋势的关注？

A：推特是个很好的资源。我还通过 HackerOneDisclosed 报告推送和好朋友之间的研究分享及合作来找到新的漏洞。

Q：你认为企业启动漏洞奖励计划之前应该了解什么？

A：请把黑客和公司放在一条战线上。合作才能为所有人都带来最好的结果。

Q：你认为5到10年后，漏洞奖励领域会如何发展？

A：将来一切都和增长有关。从我个人的角度来看，过去四年中每年的增长率都在70%左右。我认为将来人们对黑客会更加开放和信任，和黑客共享更多的数据并保护资源的安全。

Q：你如何看待黑客在黑客平台上进行协作的未来？

A：我觉得总有一些黑客愿意单人作战。多年来，我也曾是如此。然而，和其他黑客进行长时间协作构建信任的经历惊喜连连。每个人都有独特的技能、创造性和资源，因此我们合作的次数越多，我们所有人都将变得更加快乐和安全。

Q：你的导师或偶像是谁？

A：可以说，整个社区都激励着我。从向 HackerOne 平台提交第一个 bug、我的第一个 N/A、不在范围以及第一次获得奖金开始，我感受到的只有支持和友好。现场的hacking 活动和所有面对面交流过的道德黑客都让我备受鼓舞。

Q：哪些hacking教育资源是你希望存在但现在尚未出现的？

A：我希望有一些关于如何处理心态崩溃的资源。我认为自己漏洞猎人生涯的成功和生活的快乐在于冥想实践。我希望平台未来会提供更多解决心理健康的资源支持。可能在下一次的 N/A，会看到诸如“Web Hacking 入门”和“身心健康入门”的资源。

Q：你对下一代黑客有什么建议？

A：非常辛苦但一切努力都是值得的。如果决定入行，那么回报丰厚。说值得，是因为你将学到新技能，交到很棒的朋友，建立很好的人脉，同时它会用金钱回报你付出的时间。

Q：你想对社区说点什么？

A：我经常以“愿屏幕那端的你，一切安好”作为沟通结束语，这是我的真心话。我尽力在和别人沟通时展现出自己的同情和爱，因为我们每个人都在为了某个目标而奋斗着。当有人正在煎熬时获得同情，一切都将不同。人们表现出来的，通常是内心痛苦的折射，所以我通过同情表现对别人的爱，但同时也不要让自己因此受虐待。看看屏幕那端的人是否安好很重要，尤其是在这个多事之秋更是如此。归根结底，我们同呼吸共命运。

推荐阅读

白天做安全，晚上去挖洞

听说你决定当全职自由漏洞猎人了？过来人想跟你聊聊

我是一名自由职业白帽黑客

我如何判断漏洞奖励计划是否值得参加？如何获得最大收益？

原文链接

/blog/hacker-spotlight-interview-todayisnew

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 ”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

觉得不错，就点个“在看” 吧~