前言
哈哈,好久没在博客上面更新文章了,许多朋友(不管是线上还是线下)都在问我是不是不更新博客了,也在催我赶紧更新一下博客的内容,在此也非常感谢各位师傅和朋友的关注和支持~
近期不更新博客,原因如下:
最近大家也知道emmmmm..我最近到深圳这边,这边项目的对抗程度很高,在这段时间学到很多知识,但工作强度也比较大,人也相比之前时间更少了,也累了不少;
但能学到技术还是非常开心的,有时候工作确实太累了,导致我没啥精力来更新博客。
后面我会在博客上面分享在项目上面的一些新的收获,一线攻防总能带来一线的技术,相信大家后面都能在我的博客上面收获良多!ψ(`∇´)ψ
好了说回正题,正好补天城市沙龙在一个月前开在广东广州,补天的田总(田朋师傅)就诚挚的邀请我去参加,我就非常开心的过去了,确实收获了不少
与田总的交流:Q&A
之前参加安全沙龙都因为各种事情,基本参加一半就因为有事需要回去了,这次终于有时间见一见这位神秘的补天漏洞平台负责人——田朋师傅
之前就看过一些关于田总的文章,详情可以点击超链接: 热情、责任、自由,他们不忍看世界沉沦——致敬补天漏洞平台十周年
我刚开始和田总聊的时候,就感觉他是非常和蔼和善解人意的。经过深入交谈,我也觉得田总确实实至名归,跟其他文章描写的一样,是一个有抱负的师傅( •̀ ω •́ )✧
我心底里面一直有许多关于行业的问题,在本次沙龙期间,田总都给出了一些在他视角下的答案,接下来我挑一些重点的问题写一写:
注:以下内容并不是交谈的原话,是我在自己的回忆里面提炼出来的,如有错误欢迎各位师傅友好讨论和指正
问题1:补天城市沙龙的意义在哪?
补天漏洞平台去开城市沙龙,相对于其他友商和社群,投入是非常恐怖的。
Q(我):问了一下补天运营姐姐,像这样开一次补天的城市沙龙,投入的资金就要四位数到五位数。换个视角,从纯粹商业的角度来看,这种城市沙龙,基本是没办法去创造营收的,那为什么每年都要花这么多钱和精力去开展这项活动?
A(田总):现在其实相比以前来说,白帽子的就业环境已经不是很好了。举办补天城市沙龙,就不是抱着“来赚钱”的想法,说实话也是不赚钱的,但为什么要办呢,就是想要将白帽群体团结起来。让大家都能在沙龙上“爽一爽”,学习一下技术,也能交流一下行业,还让学生和从业者看到行业的希望。补天作为一个平台,在这样大时代的背景下,也有自己的追求和责任...
问题2:目前甲方是如何看待安全的?
Q(我):现在甲方的安全部门,其实是非常矛盾的:如果不出事,就会认为安全部门就是吃白饭的;一旦出了事情,就会认为安全部门都是一堆废物。同样对于SRC的态度,甲方也是非常微妙:SRC平台的提交漏洞少,甲方认为绩效太低了,运营没办法找到和发挥外部力量;SRC平台提交漏洞多了,甲方又认为安全部门不干事,凭啥人家能挖到自己人挖不到。
A(田总):说实话,甲方的业务侧有时候没办法去理解安全,很多时候就会产生很多沟通上面的问题。在这方面,平台就需要发挥出自己的作用,比如补天平台其实是一个纽带,一端连接着白帽子,一端连接着企业,白帽子的诉求和企业的想法都需要合理兼顾,并促成一个良性沟通的效果。发现漏洞,说到底就是存在问题,那就得去解决嘛,不然所有人都在那里推卸和扯皮,对行业是没有进步的,需要平台这个润滑剂去解决这些问题...
雷锋网原文:
田朋认为,之所以做这件事情把白帽子和企业拉在一起,是因为双方有认知偏差:企业对白帽子的猜想是会不会不守规矩干坏事,而不是第一时间关注安全漏洞暴露的风险;而白帽子会觉得企业不认可我的价值,我肝了一晚上挖出一个漏洞被企业找借口忽略。补天这个平台就是为了帮助大家拉齐共识,通过设立奖励计划,给予安全研究者一定的奖金和声誉,以激励他们持续关注网络安全并报告漏洞。即使不赚钱且很困难也要坚持做下去,这是一件有意义的事情。
问题3:目前网络安全的行情怎么样?
Q(我):现在大家都知道,网络安全的行情相比之前变得差很多,之前也存在不少裁员,对此田总你怎么看?有什么想对白帽子说的?
A(田总):是的,行业目前来说并不好。但可以看到,目前对于人才的需求还是存在的,基础人才有需求,但更需要高水平人才。作为白帽子,不能浮躁,要沉得住气,坚守初心去努力磨砺自己的技术,也可以尝试安全其他赛道上面的内容,去迎接更好的明天。从整体的角度来说,未来谁也不知道。但从规律的角度来看,行业也会越来越规范,不可能一直差下去,我们要等一个契机...
议程介绍
主要为四个议题,感觉这次在广州的议题,比去年在宁波的补天沙龙议题的整体技术含量要高(bushi
补天城市沙龙议题
嗨嗨嗨,又来到了熟悉的议题评论环节
在了解完议题后,在补天的闭门晚宴上,和各位师傅还深入交流了许多,收获匪浅,在此非常感谢字节跳动SRC对补天沙龙的大力支持:
议题一
随着ChatGPT等一众大语言模型的兴起,对于AI安全的探索一直是目前最热门的研究之一,在我看来,AI安全主要为两个方向:
- AI产出内容的内容安全(诸如通过AI生成版权侵犯/性别歧视/不正当言论等内容)
- AI自身程序的计算安全(诸如通过AI达到命令执行/未授权访问/敏感信息泄露等操作)
在去年的CCS网络安全大会上,我和洛熙师傅线下见了一面,就这方面的事情深入的聊了聊,后续也给洛熙师傅指点了一下方向,没想到今年就上来讲议题了哈哈~(/≧▽≦)/
其实我挺佩服洛熙师傅的能力:能在比较短的时间,将这块内容完全吃透。我也在他的议题上学到了不少新的思路,对于AI的内容安全,目前完全可以看洛熙师傅提供的开源项目: https://github.com/Acmesec/PromptJailbreakManual
议题二
在工控安全方向,蓝牙漏洞这块其实已经是“老生常谈”了。
但我发现咸湿小和尚师傅的议题不如以往其他议题,其他议题都是简单粗暴对蓝牙xx协议直接动手。但咸湿小和尚师傅通过结合目前存在的共享单车——智能开锁的场景,也就是(小程序——GPS——蓝牙)的一整条生态链下手,往往会有非常不错的成效,也更贴近于实际生活。
这次很荣幸能和这位师傅(咸湿小和尚)深入交流,没想到咸湿小和尚师傅目前也在做车联网安全,目前交流的方面来看,车联网安全方向已经形成了一套规范化的流程,市场也在逐步稳定下来。
同时,我还询问了咸湿小和尚师傅在车联网人才培养方面,确实车联网安全的人才培养周期长,需要的实验环境(整车调试)的成本大,基本都是通过找寻有基础(逆向、反汇编)的实习生进行2-5年的实验室培养而传承的。
议题三
哈哈,当时讲这个议题的时候,我约了田总在外面聊天,大部分内容没来得及听。顿感可惜,后面找了观沧海师傅的PPT仔细观看,发现其实做终端对抗,还是要深入底层原理,从原理上寻找突破口和绕过方法,从而实现Bypass。
后续闭门晚宴上面,观沧海师傅和我们聊起一些手法的时候,也非常让人耳目一新,后续有时间会更新一两篇文章详细讲讲。Orz..膜拜
议题四
zero师傅讲的议题,也非常贴近实际,想当年一个GG修改器打天下的爽感哈哈哈~
随着小程序时代的到来,其实zero师傅也谈到:这是一个“风口”,小程序一方面便利了业务,另一方面也造成了较大的安全隐患。小程序游戏的逻辑漏洞以及内存数据防篡改,目前来看还是做的不好的,这也是一块非常好的思路。
在zero师傅的身上,可以看到对行业的热爱,zero师傅也很存粹、踏实,未来其实不可限量。这一行很简单,始终做好热爱、坚持、沉淀,终会有“宝剑锋从磨砺出”的那一天,与屏幕前的各位师傅共勉!ヾ(≧ ▽ ≦)ゝ
总结
本次城市沙龙,依旧收获满满~感谢补天漏洞平台提供的环境,也感谢字节跳动SRC的大力支持!
其实我也没想到自己的影响这么大,整个会场的大部分师傅都在找我( •̀ ω •́ )y,我也非常喜欢分享和交流,有什么问题欢迎来找我哈哈~
很多时候,深耕于一个行业,沉下心往上走,其实距离梦想的距离并不遥远!
一定不辜负大家的期待,志之所趋,热爱如焰,理想若星,虽道阻且长,终至成功之境!
厉害了,记录得这么细致,哈哈
1