【FreeBuf字幕组】HackerOne优秀白帽黑客采访系列-Corben Leo

栏目: 编程工具 · 发布时间: 4年前

内容简介：Corben Leo（@cdl），19岁，南达科塔州州立大学计算机系在读，信息安全咨询分析师，专注于Web安全，熟悉Go、C、Python、Bash、PHP、JS等前端编程语言。Corben发现的漏洞曾获得Google、Microsoft、Apple、Yahoo!、AT&T、美国国防部、ASUS、Nike、荷兰国家网络安全中心等公司和机构的致谢，并发现了11个具备CVE编号的漏洞。另外，Corben还利用课余时间创建了安全公司Lynx Security，专门为企业客户提供全面的渗透测试服务。

人物介绍

Corben Leo（@cdl），19岁，南达科塔州州立大学计算机系在读，信息安全咨询分析师，专注于Web安全，熟悉 Go 、C、 Python 、Bash、 PHP 、JS等前端编程语言。

Corben发现的漏洞曾获得Google、Microsoft、Apple、Yahoo!、AT&T、美国国防部、ASUS、Nike、荷兰国家网络安全中心等公司和机构的致谢，并发现了11个具备CVE编号的漏洞。另外，Corben还利用课余时间创建了安全公司Lynx Security，专门为企业客户提供全面的渗透测试服务。

观看视频

看不到视频点这里

采访实录

2018年，Corben曾发现了Nike官网的一个严重漏洞，可以利用OOB-XXE方式获取网站注册用户的敏感信息，并访问网站内部配置，进一步可形成远程代码执行。而当Corben向Nike上报该漏洞后，却迟迟没有收到回应，出于对漏洞隐患和用户信息的安全考虑，Corben联系了ZDNet对漏洞进行了部份曝光，以催促Nike方面及时修复漏洞。

“最早是如何接触到黑客技术的？”

高中一年级上课，学校在学生电脑上，配置了防火墙规则，限制我们上课时玩网络游戏、看YouTube和Netflix等在线视频。我比较反感，所以就利用课余时间，想办法尝试对电脑进行系统提权，之后成功删除了其中设置的防火墙规则，实现了自由使用电脑的目的，另外还帮助好多朋友也做了规则删除，后来因此在学校遭了处罚，但却因为这件事，让我电脑运行机制和黑客技术产生了莫大兴趣。

“你选择做白帽黑客的初心是什么？”

有多种原因，既有好奇的原因，也有挑战性的因素。我更多出于喜欢挑战性，就像解谜题一样需要创意，需要构思才能正解。所以做白帽黑客就像解题一样，非常有趣，可以和朋友合作，也可参加比赛，或是线上与别之合作，总之非常有意思。我本身非常喜欢思考和构造，所以我乐此不疲。

“发现漏洞时是什么感受？”

噢，我觉得第一次或是任何的漏洞发现，都是一件非常刺激的事，有肾上腺素飙升的感觉。如果和朋友一起的话，我会非常兴奋，我们会击掌庆祝；如果我是在家测试，我就会大声惊叹，哦…，总之非常兴奋，非常刺激。

“你如何理解黑客精神？你如何看待白帽黑客社区？”

我认为黑客是那些，在智力和创造力方面异于常人的人，他们总能想办法突破一些限制。作为其中的一份子，白帽社区就是我的世界。通过社区的相互交流，我在其中结交了好多朋友，能够以自己的白帽身份，和志趣相投的其他人，一起出去玩，一起研究感兴趣的事。

“用漏洞赏金购买过什么好物？”

我弟弟的一个好朋友过生日，我花费了300美金，买了一个他此前非常心仪的东西，送给他做生日礼物，给了他一个惊喜。因为他是我弟弟的高中好友，所以我就慷慨破费了。我从未看到他那么高兴，他脸上洋溢的笑容，表明他非常喜欢这个礼物。能让别人快乐，这就是我认为的好物。

“有需要感谢的白帽朋友吗？”

有很多很多，他们给了我支持和力量，像@notnaffy和@mlitchfield我从他们身上学到了很多东西，还有@rhynorater和@orange，和好多好多我要感谢的朋友。当然还要感谢白帽社区中的朋友，因为我们都互相帮助，并且都从各自身上学到了好多，相互取长补短，我在此对他们，对整个社区表示感谢。是我们每位白帽组成了社区，培育出了那种重要氛围。即使别人不这么认为，但至少对我来说，这种社区氛围意义非凡，它不仅仅是某几位朋友的帮助而已。

“收到过什么值得收藏的奖励物？”

哦… 我收到最好的奖励物，应该算是连帽卫衣吧。我个人非常喜欢穿卫衣，我记得当初我入行漏洞众测时，看到一些参加Twitter漏洞众测的黑客，他们在朋友圈分享了奖励的卫衣，我非常喜欢，我就想一定要得到一件，最终如愿以偿。所以，卫衣算是我喜欢的漏洞奖励物吧。

“你为什么选择在HackerOne平台参与漏洞众测？”

我对HackerOne的员工比较有好感，在这个平台他们都各司其职。他们既了解白帽社区，又服务于白帽社区。另外我还喜欢HackerOne上的测试项目，上面的厂商测试范围明确。所以这些都是我选择HackerOne的原因。

“对新手白帽有什么建议？”

我给白帽新手的一条建议就是，要坚持不懈不能放弃。我记得当初我刚开始入行漏洞众测时，感觉非常难，差点要放弃了。因为我那时什么都没发现，最后我选择了一个最简单的测试项目，并暗自给自己打气加油，最后我记得是用了将近五六个月才收获了第一笔赏金。当时我的上报漏洞，好多被评定为信息类和重复报真是灰心，但经历过这些之后，才会守得云开见月明。