图片:Santiago Lopez

白帽子道德黑客的注意力常被巨额漏洞赏金和一夜暴富的新闻所吸引,但是全球首位漏洞悬赏金百万富翁却靠坚持不懈“打小怪”和“日拱一卒”走出了一条“平凡之路”。

近日,来自阿根廷的年仅19岁的圣地亚哥·洛佩兹(Santiago Lopez),成为首位官方报道获得漏洞奖金超过百万美元的漏洞猎手。

在接受媒体采访时,洛佩兹将自己的成功归功于出色的职业道德,并在奖励的规模和获得奖励的时间频次之间取得了平衡。

洛佩兹现在HackerOne的历史排行榜上排名第二,但让人吃惊的是,他迄今为止斩获的最高漏洞奖金只有9000美元(在一个私有程序中找到的SSRF服务器端请求伪造漏洞),与安全牛此前报道过的“2020年十大漏洞赏金项目”中,Paypal、Uber、英特尔、Twitter等公司所提供的动辄数万美元的漏洞赏金相形见绌。

洛佩兹生活在阿根廷的布宜诺斯艾利斯,刚满16岁就赢得了他的第一个漏洞赏金,接下来几年中一发不可收拾,获得了包括Twitter、Uber、Airbnb在内的大量公司的漏洞奖金,一举超越了平台上大量“大神级”漏洞猎人,成为漏洞奖金冠军。

洛佩兹的成功颠覆了很多业内人对漏洞猎人的职业前景预期,通常人们认为自由漏洞猎人就像自媒体作者一样,只有少数能够挖掘高级漏洞的天才选手和“头部大V”才能真正致富。根据HackOne 2019年发布的报告,漏洞悬赏项目发起公司支付给关键漏洞发现者的平均赏金已经飙升至3,384美元/个,但在这个超过50万白帽子黑客参与的漏洞赏金市场中,通常只有极少数顶尖级的漏洞猎手能够真正获利(真正获利的赏金猎人不到1%)。

但洛佩兹的“金牌猎人”之路看起来相当平凡,他从未获得超过1万美元的赏金,因此绝对算不上是所谓的黑客天才。但他每天坚持六到七个小时的渗透测试,比大多数道德黑客都勤奋得多。

“当寻找漏洞时,我总是寻找那些不太严重的漏洞–我不喜欢所谓的高危漏洞。我的目标是在最短的时间内找到我能找到的(最高)价值的bug。如果一个程序的每个漏洞奖励在500-2000美元之间,我就认为它的价值很高。”洛佩兹说道。

换而言之,洛佩兹的成功秘诀是搜寻价值不算很高,但成功率较高的漏洞。

在接受媒体采访时,洛佩兹透露他最擅长挖掘的漏洞是直接对象引用(IDOR)漏洞、跨站脚本(XSS)、权限模型问题或SSRF等,因为这些漏洞很容易找到,并且大多数大型程序都为此付出了高昂的代价。洛佩兹强调,应该最大限度地利用有限的时间获取利润。因此,白帽子黑客最喜欢的漏洞赏金计划通常有三个特征,报告响应迅速、支付金额高、支付速度快。

在谈到未来的职业规划时,洛佩兹表示自己目前是一名全职漏洞赏金猎人,通过广泛的研究范围来探索和研究新事物。但会在将来的某个时间开始深入系统地学习网络安全技术,并拥有自己的公司。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。