ron chan,中國香港人,現專職網路安全顧問和漏洞挖掘專家。ron於2023年香港科技大學純物理專業畢業,之後轉入銷售工作。在進入漏洞眾測之前,他用了1年時間學會黑客技術,並通過了offensive security certified professional (oscp)認證,並慢慢嘗試參與漏洞賞金專案,通過不懈努力,ron發現了google、uber、yahoo、spotify、lyst等多家知名公司**高危漏洞,更是uber 和 yahoo漏洞專案的優秀致謝人員。目前,ron chan以277個漏洞的上報量排名hackerone榜單第26位,是為數不多的華人bug hunter。
此前,3年的銷售工作令ron感到心身疲憊,曾經對網路安全的興趣激起了ron的決心,他決定放手一博。他一邊工作,一邊自學程式設計和其它課程。在應考oscp的過程中,ron坦言最大困難在於計算機基本功不足,在兩次考試應考失敗之後,他花了約1年時間才成功完成所有課程並收穫oscp認證。而在參與漏洞賞金專案的過程中,他擅長總結經驗,總會認真閱讀並徹底理解別人的漏洞分析文章,力求從中有所所獲。我們一起來聽聽ron chan的分享。
q:感謝你接受我們的採訪,先向大家介紹一下自己吧!
大家好,我叫ron chan,是來自香港的一名bug hunter。我最早開始接觸黑客技術是在2023年4月,那個時候我不知道從何開始,後來我發現了乙個很有意思的**黑客技術教程 – oscp。經過學習,我購買了oscp的60天lab環境練習,開始在其實驗環境中學習主機滲透提權。很幸運,最終我通過了測試獲得了oscp認證。再之後,我看到了台灣安全研究員蔡政達(orange tsai)發表的通過sql注入實現facebook遠端**執行(rce)的文章,由此接觸到了漏洞賞金(bug bounty)領域。
當時對我來說,別人發現的一些漏洞技術細節非常讓我開眼,另外漏洞賞金平台也對我非常具有吸引力,我之前從沒聽說過可以通過漏洞賞金平台來合法賺錢。長了見識之後,我就每天不停地閱讀分析別人的漏洞分析文章,最終我也從雅虎眾測專案中發現了自己的第乙個漏洞,收穫了第一筆不菲的漏洞賞金,也開啟了我自己的漏洞賞金之路。自那以後, 雅虎(yahoo) 和優步(uber)也成了我最喜歡參與的漏洞眾測專案。
q: 你如何來協調分配你的個人生活、工作和漏洞賞金時間?你把漏洞賞金看成一項專職工作還是僅只是個人愛好?
怎麼說呢,我會這樣來分配日常時間的,個人生活可能佔據20%,工作可能佔據10%,漏洞賞金占用時間較多,接近70%,所以我會投入大部份時間來挖掘漏洞。
q: 在某個具體的漏洞挖掘中你一般會投入多少時間?每個月你的平均漏洞產出是多少個?
我曾經有個全年粗略統計,在上半年時間裡,我每月的漏洞上報量會是5到10個低危漏洞,下半年每月的漏洞上報量可能又會是 20到40個。這說到底多少還和運氣有關。比如說,如果在某個月,雅虎決定對其flickr服務進行一些更改調整,那麼在這個月裡,我可能會發現更多漏洞。
q: 你發現的第乙個高危/高賞金漏洞前後共用了多長時間?
我的第乙個高危漏洞算是雅虎的吧,收穫的賞金也非常可觀。非常幸運,因為當時只有香港居民可以使用雅虎的支付功能,恰好那個時候在香港也沒多少 bug hunter。所以,當時花的時間也並不算太長。
q: 在所有你發現的漏洞中,哪乙個是你自認為非常不錯或比較喜歡的?
可能要屬 google bug hunter』s account takeover 這個漏洞吧,你可以點此閱讀。這是因為按照漏洞技術規範來說,google自身服務並沒任何錯誤配置,僅只是在302響應頭的字元編碼時,ie的奇怪操作最終導致的賬號劫持行為。
q: 你認為你自身技術比較大的突破提高發生在什麼時候?是如何實現的?什麼時候你確定漏洞賞金行業是你值得投入精力去做的?請和我們分享一些你在此過程中成為公認白帽黑客所經歷的見解以及遇到的一些問題。
我認為我的主要突破提高應該是閱讀了zseano的一篇技術文章後吧,他在文章中演示了如何利用開放重定向漏洞實現facebook關聯賬戶的劫持,整個技術過程不僅讓我印象深刻,還讓我見識到了漏洞「以小見大」的境界。
讀了zseano的這篇文章之後,我就嘗試著在我參與的漏洞眾測中借鑑他這種思路來測試,最後我竟然發現還真有幾個專案中存在這種開放重定向 + facebook賬號劫持式的攻擊。在專案參與中,我不僅會測試開放重定向 + facebook賬號劫持式攻擊,還會把zseano的技術思路應用到認證登入流的漏洞發現中去。因此,也就是在那段時間,我發現了uber的多個oauth認證漏洞和flickr的賬號劫持漏洞。受zseano的這篇技術文章啟示,我前後共賺了將近4萬美金的漏洞賞金,之後也更加熱愛漏洞眾測行業了。
我在這波突破提高之前,我遇到的問題是,對一些漏洞分析文章沒有全面整體的認識,我估計這也會是大多數白帽新手會遇到的問題吧。比如,當我第一次看到fin1te的turning self-xss into good-xss文章時,我能理解其中的基本利用方法,但深入考究自己,卻不明白作者為什麼必須用到內容安全策略(csp),以及登入csrf會遇到的問題,等等等等,但就是這些所有瑣碎的細節,最終才形成了一次厲害的漏洞測試,以及一篇優秀的技術分析文章。但當時我卻一無所知。在有了突破提高之後,fin1te發現的所有漏洞我都會及時關注,也認真閱讀了他之前所有的技術分析文章,從此,我理解的世界就和之前完全不同了。
q: 你一般通過什麼渠道來獲取一些趨勢更新?
twitter。
q: 你會和其他白帽黑客一起合作嗎?方便透露一兩個嗎?
我最近就和@cache-money一起在uber漏洞眾測中有過合作,還一起上報了幾個漏洞。平時當我遇到問題時,我會向@filedescriptor請教,這種也不算合作了,更多的是一些經驗請教。
q: 說說你是如何分析乙個目標的?你的常規方法是什麼?你的前期踩點過程是什麼?一般你會著重去收集什麼樣的目標資訊?這些資訊的效用如何?
我參與的漏洞眾測專案主要是 yahoo 和 uber,通常來說,我會檢視它們的首頁,檢查有什麼服務產品更新,也會去檢視它們的工程部落格,關注它們的twitter,盡量不忽略掉它們任何推出的服務功能更新。我的前期踩點過程和資訊收集主要圍繞著子網域名稱暴力猜解、nmap掃瞄和google dork查詢來做,這些也不都是必須流程,我只在必要時才會做。
q: 當你分析乙個目標**時,是否會對所有的漏洞型別都作檢查測試?
我認為我經驗不足的部分就是目標資產的發現識別了,我一般很少使用 dirbuster 或 sublist3r,因為我關注的目標主要是 yahoo 和 uber,平時已經非常了解它們的功能特性了,我唯一需要做的就是通過它們的英文twitter來經常關注它們的服務更新。就比如uber新近推出的小費功能、社交功能以及uberpool拼車功能等。雖然我生活在香港,但uber推出的功能應用總是比美國要晚兩步,但我的這種通過英文twitter,提前熟悉了解的方法多少還是有些效果的。
而對yahoo來說,它本身具備的攻擊面非常之廣,如雅虎運動、gemini、新聞、財經等,範圍簡直超出我們的測試想像,因此雅虎專案中,我一般不做子網域名稱或目錄的暴力猜解,它的一些功能測試就要花費好多時間,所以,就見招拆招吧,碰到什麼服務認真測試就好。
q: 你一般使用的工具是什麼?你有什麼自己編寫的自動化便捷工具嗎?你常用的 burp 外掛程式有哪些?有什麼值得推薦的獨特冷門工具?
有時候,我主要使用 burp、vps來做暴力破解,最近在用的burp外掛程式是json beautifier,而我對自動化的工具用的不多。
q: 問乙個大家比較關心的問題:你是如何測試rce、sql注入等服務端漏洞的?
我對服務端漏洞測試較多的是idor(不安全的物件引用)和認證繞過,這兩種型別的漏洞測試簡單且威脅程度較高。idor漏洞並不新鮮,只要用受害者識別符號替換你的引數就行;認證繞過漏洞涉及到一些密碼、安全宣告標記語言saml和oauth等的重置測試。
q: 比如,在一些邀請專案中,你發現大家發現不了的獨特漏洞,這種頻率有多高?
不太確定,因為我現在很少參與邀請專案了。
q: 你是否認為,滲透測試、web開發或此類相關工作經驗對你參與漏洞賞金專案有所幫助?如果有的話,可以從何開始?
如果作為安全顧問的角色來說,我認為這些都沒多大關聯,安全和漏洞賞金專案是兩種不同職責定義,且最終目標也不一樣。
q: 你喜歡聽什麼**?
一些在youtube上的流行**。
q: 不做漏洞測試時,你如何消遣?
和家人朋友一起度過。
q: 漏洞賞金專案在你生活中的角色是什麼?
這是我的個人愛好和主要生活經濟**。
q: 你當初入門漏洞賞金專案時,接受過什麼好的建議?
就是多去閱讀一些漏洞分析文章,如果實在不理解其中的意思,那就嘗試搭建實驗環境去體會。
q: web、移動端和硬體等方面,哪一塊是你想加強提高的?
ios 系統越獄吧,這是另一種新的hacking技術。
q: 如果一些新手白帽向你諮詢:「我如何入門?」,在參與漏洞賞金專案之前,你會給他們什麼建議?
有機會就去考考oscp認證,學學《web應用黑客手冊》和《笨方法學python》(learn python the hard way)。
q: 你有什麼糟糕的漏洞眾測經歷?
之前參與過一家中國公司的邀請專案,我發現了它的賬號劫持漏洞,但該公司最後卻偷偷修復了,並把我發現的漏洞標記為n/a,沒有賞金就把漏洞報告關閉了。
q: 讓你選擇一名白帽作合作夥伴,你會選誰?
@filedescriptor
q: 你希望漏洞眾測平台改進的功能是?
縮短賞金發放週期。
q: 你喜歡用的編輯器是?
vim。
黑帽白帽問題
題目 總共有3頂黑帽子,2頂白帽子。a,b,c三人分別在關燈時隨機拿起一頂帽子戴上。開燈之後,a看完b和c帽子,說不知道自己戴的是什麼帽子。b看完a和c的帽子,也說不知道自己戴的是什麼帽子。c本來聽完a說的話,也不知道自己戴的什麼帽子,但是聽完b的話後,知道了自己戴的是什麼帽子。a,b,c三人均不會...
白帽偽裝white hat cloaking案例
以下站長俱樂部裡面的提出的乙個cloaking偽裝問題 尊敬的lee您好,我一直關注著貼吧站長吧,而且也學到了不少關於與 之間關係,也很感謝給我們站長朋友帶來的幫助。但是,我這裡一直有個不知道怎麼解決的問題。所以還請lee朋友指點一下。我的 是www.fuwuta.com建立已經有2個多月了。當時系...
白帽SEO和黑帽SEO
不過,正如人不能簡單地以非好即壞評判一樣,這樣的非黑即白 非白即黑事實上也不能準確概括seo市場的實際情況,畢竟中間存在著很多過渡色。站在黑帽seo的立場上,這種放長線掉大魚的策略,即使很正確,有的人也不願意這麼做。認真建設乙個 有的時候是一件很無聊的事。你要寫內容,要做調查,要做分析流量,要分析使...