白帽专访丨大家好，我是积木，一名安全圈的赏金猎人！

白帽积木的荣誉榜

积木师傅的挖洞之路

我的

变化

入门网络安全后

大家好，我是白帽子积木。目前就职于一家国内甲方企业，从事SDL安全建设。很高兴受邀i春秋的采访，这期访谈我会介绍自己的挖洞之路，并分享一些好用的经验技巧，感兴趣的小伙伴速来围观~

问：积木师傅是如何开启挖洞之路的？

积木：我是网络工程专业毕业，大学期间也曾对未来迷茫过，不知道日后该从事什么类型的工作。机缘巧合下，2017年我入职了一家网络安全公司实习，成为了一名安服人员，自此踏入了网络安全行业。

积木：真正开始挖洞是在2018年年底，当时我在乙方做安服人员，业余时间经常听到同事们讨论挖洞攻略，强烈的好奇心驱使我加入了“挖洞大军”。刚开始我会尝试挖一些公益项目或SRC （安全应急响应中心）漏洞，但是由于技能和经验的不足，收获甚微。

积木：积跬步，至千里；积小流，成江海。我用近4年时间一步一个脚印从新手成长为MVP。

问：能给我们分享下，您是如何从新手成长为MVP的？

揭秘严重漏洞挖掘全过程

问：能讲述下印象比较深刻的一次挖洞经历嘛？

积木：最近有一个漏洞挖掘过程我印象还比较深刻。简单描述下挖洞的过程：这个是某个厂商核心业务中的逻辑支付漏洞。当时为了测试这个漏洞，我研究了一晚上，所有在支付逻辑上可能存在的缺陷，我对每个参数都进行了测试，功夫不负有心人，最终结合了对方业务的特殊场景进行了绕过，厂商响应也很快，第二天就确认该漏洞并评级为严重，并且给了3.6W的漏洞赏金。

问：您对这个评级和报酬满意吗？

积木：挺满意的。其实现在国内有很多安全响应平台的奖励都非常丰富，比如春秋云测平台、字节安全应急响应中心、阿里安全应急响应中心等等，都有很不错的漏洞奖励机制。

问：说到春秋云测，您在这个平台参加过哪些众测项目？

积木：还挺多的，有些属于保密项目，就不列举了。春秋云测是一个很负责任的平台，响应速度快，运营人员会充分站在白帽子和甲方的角度，让漏洞评价公正可信，带给白帽子安全感，也让挖洞的成果更加有保障。我已经推荐给身边的白帽子们来参与挑战了。

独家挖洞秘籍精彩分享

问：师傅从2018年至今一直活跃在各大众测平台进行漏洞挖掘，积累了丰富的实战经验，分享下您的挖洞秘籍吧~

积木：我觉得就是要多思考。我擅长挖逻辑漏洞，对这块比较有研究，发现逻辑漏洞更多地是要结合业务场景。一般在密码修改、越权访问、密码找回、交付交易金额、退款金额等功能容易出现逻辑漏洞。不同的行业挖洞思路也不尽相同。比如说，业务较单一的新闻网站，只需要十几分钟便可熟悉，但功能庞杂的电商类网站和应用，就需要花较长时间熟悉系统功能。

积木：挖逻辑漏洞前，我会先注册成普通用户，逐项体验APP或网站的功能。因此我手机上一度同时存在数百个APP，因测试而关注的微信公众号数量达到上限，每次都需要先取关一些公众号才能关注新的。对于指定范围的挖掘，我会优先尝试功能更多、更复杂的系统进行渗透。众测项目很强调挖掘漏洞的速度，我会优先测试自己擅长的漏洞类型，争取在较短的时间内发现漏洞。

积木：还有一个技巧：在厂商上线新功能或推出新活动时，通常容易出现漏洞。怎样及时发现呢？首先，我会去查看系统版本的更新内容，查找最新的业务功能。其次，如果是活动上新，我一般都会关注厂商的公众号，及时查看他们的各种活动推文，从而有针对性地进行挖洞。

积木：最后，我建议刚入门的新手小白先规范系统地学习相关技术，技能变得强大，挖洞才会轻松。同时找一些比较小众的安全应急响应中心或者公益项目积累实战经验，从而快速提升挖洞技能。