Iordache Cosmin,@inhibitor181,罗马尼亚人。Cosmin在2017年开始做漏洞众测,并于去年转向全职Bug Hunter(漏洞赏金猎人),他曾于2017年发现了Atlassian Bamboo 5.x版本的高危RCE漏洞(CVE-2017-8907 )。
今年4月份,在新加坡的H1-65黑客马拉松大赛中,Cosmin荣获了有最高声誉的The Exalted和最高影响力的The Assassin称号,一举把$33,000美金的漏洞赏金收入囊中;在最近7月于伦敦举办的H1-4420中,Cosmin再次荣获了The Assassin称号。目前,Cosmin在HackerOne上的有效上报漏洞为235个,排名第53。
看不到视频点这里
采访中,Cosmin表示他在漏洞测试前会对目标应用进行研究分析,区分出一些重要功能和关键组件,然后据此制订出一套相对全面的测试计划,从点到面、至小及大、由浅入深地去发现目标应用的高危漏洞。
“给大家简单介绍一下你自己?”
大家好我叫Cosmin,来自罗马尼亚,长住德国。2017年开始做漏洞众测,去年5月转向全职众测。
“能我们聊聊H165黑客大赛吗?”
这是一个黑客赛事,来了很多大牛黑客,我们团队协作或单独测试去发现漏洞或风险隐患,以赢得相应的赏金,最终也会评选出最佳漏洞。非常荣幸能参加这种顶级赛事,非常享受这次新加坡之旅,非常棒。
“那能和我们聊聊漏洞测试的目标系统吗?”
当然,目标测试系统是厂商Dropbox和它相关的一些供应商系统,都是些非常难的系统 安全措施非常到位,面对这样厉害的厂商安全团队,大家都非常期待能在这种比赛中有所突破。
“在比赛中见识到了什么有意思的入侵测试手段或有趣的漏洞?”
在‘展示讲述环节’的,挑战性难点和最佳漏洞演示过程中,我对@fransrosen的演讲印象深刻,因为他发现的漏洞非常不一般,由于还未披露所以原谅我不能过多透露,但能听到他对具体漏洞的挖掘思路和相关组合利用的实质分析,对我来说收获颇多。确实也发现了一个有意思的漏洞,因为一开始发现其前半部分的时候,由于我对目标应用了解还不够多,所以我只好把它记录下来了。随着对目标应用的熟悉了解,我又发现了另外一个能与之组合利用的漏洞,实现了完整的漏洞组合利用,形成了有效的攻击测试链。
“有没有那种想尽办法但最后却一无所获的情况?怎样长期维持兴奋的状态?”
是的,我真的想去发现一个高危漏洞或系统风险问题,最终也无能为力,这种起伏也很正常。通常我会在测试某个目标之前制订好计划,之后会仔细去了解目标应用,重点关注一些特定组件和重要部份,先不管其它的,直到不能在其中发现漏洞,我才会转移目标去关注其它组件部份,最后会逐一对那些组件进行测试分析。
“你向别人介绍自己的工作时,他们会不会难以理解?”
是的,因为去解释整个我的工作模式,稍显费力和难懂,所以我大多数朋友甚至家人,实际上并不知道我在干什么,只知道我老是对着电脑,猜想我还可以,他们认为我可能在编程或测试,但其实并不是。
“你的动力来源是什么?”
还好我妻子理解我的工作,在我陷入难点沉迷其中的时候,她总能忍受我坚持不懈的精神,她会不打扰我在背后默默支持我,另外白帽社区也是一个支持因素,因为在其中有我崇拜的人,我为向成为那样的人而不断努力至少对我来说是这样的。
“你已经是HackerOne中一员了,可能有人也很崇拜你,对新手白帽有什么建议?”
但愿我能激发到一些人,因为就我来说,我在2017年下半年才取得很大的提高和进步,慢慢与其它大牛缩小差距,但曾经我甚至不知道HackerOne的存在,就像16岁时不知道Mac操作系统是苹果公司的一样。我觉得非常重要的是,要学会去了解目标应用,阅读开发文档并制订你自己的测试计划,但要有个主次重点,多把心思放在重点部份,再结合自己擅长的技术,去按你的感觉发现东西。反正多投入时间学习动手,最后肯定会成功。
“这是你第二次参加这种实时黑客大赛,此次比赛你非常努力表现抢眼,实现此前别人从没有过的成绩,你分别囊获了代表比赛最高声誉的The Exalted称号,和最高影响力的The Assassin称号,这充分说明了你的辛勤付出,实至名归,对此你有何感想?”
当然我很开心,既惊讶又感叹,刚开始我只知道是一个奖励称号,因为比赛结果是公开的,但The Assassin称号我完全没想到,非常惊讶,我也不知道说什么了,真的,太美妙了。
* 本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM