白帽采访 对话香港HackerOne白帽Ron Chan

　　Ron Chan，中国香港人，现专职网络安全顾问和漏洞挖掘专家。Ron于2013年香港科技大学纯物理专业毕业，之后转入销售工作。在进入漏洞众测之前，他用了1年时间学会黑客技术，并通过了Offensive Security Certified Professional (OSCP)认证，并慢慢尝试参与漏洞赏金项目，通过不懈努力，Ron发现了Google、Uber、Yahoo、Spotify、Lyst等多家知名公司网站高危漏洞，更是Uber 和 Yahoo漏洞项目的优秀致谢人员。目前，Ron Chan以277个漏洞的上报量排名HackerOne榜单第26位，是为数不多的华人Bug Hunter。

　　此前，3年的销售工作令Ron感到心身疲惫，曾经对网络安全的兴趣激起了Ron的决心，他决定放手一博。他一边工作，一边自学编程和其它课程。在应考OSCP的过程中，Ron坦言最大困难在于计算机基本功不足，在两次考试应考失败之后，他花了约1年时间才成功完成所有课程并收获OSCP认证。而在参与漏洞赏金项目的过程中，他擅长总结经验，总会认真阅读并彻底理解别人的漏洞分析文章，力求从中有所所获。我们一起来听听Ron Chan的分享。

　　Q：感谢你接受我们的采访，先向大家介绍一下自己吧！

　　大家好，我叫Ron Chan，是来自香港的一名Bug Hunter。我最早开始接触黑客技术是在2016年4月，那个时候我不知道从何开始，后来我发现了一个很有意思的在线黑客技术教程 – OSCP。经过学习，我购买了OSCP的60天Lab环境练习，开始在其实验环境中学习主机渗透提权。很幸运，最终我通过了测试获得了OSCP认证。再之后，我看到了台湾安全研究员蔡政达（Orange Tsai）发表的通过SQL注入实现Facebook远程代码执行（RCE）的文章，由此接触到了漏洞赏金（Bug Bounty）领域。

　　当时对我来说，别人发现的一些漏洞技术细节非常让我开眼，另外漏洞赏金平台也对我非常具有吸引力，我之前从没听说过可以通过漏洞赏金平台来合法赚钱。长了见识之后，我就每天不停地阅读分析别人的漏洞分析文章，最终我也从雅虎众测项目中发现了自己的第一个漏洞，收获了第一笔不菲的漏洞赏金，也开启了我自己的漏洞赏金之路。自那以后， 雅虎（Yahoo） 和优步（Uber）也成了我最喜欢参与的漏洞众测项目。

　　Q: 你如何来协调分配你的个人生活、工作和漏洞赏金时间？你把漏洞赏金看成一项专职工作还是仅只是个人爱好？

　　怎么说呢，我会这样来分配日常时间的，个人生活可能占据20%，工作可能占据10%，漏洞赏金占用时间较多，接近70%，所以我会投入大部份时间来挖掘漏洞。

　　Q: 在某个具体的漏洞挖掘中你一般会投入多少时间？每个月你的平均漏洞产出是多少个？

　　我曾经有个全年粗略统计，在上半年时间里，我每月的漏洞上报量会是5到10个低危漏洞，下半年每月的漏洞上报量可能又会是 20到40个。这说到底多少还和运气有关。比如说，如果在某个月，雅虎决定对其Flickr服务进行一些更改调整，那么在这个月里，我可能会发现更多漏洞。

　　Q: 你发现的第一个高危/高赏金漏洞前后共用了多长时间？

　　我的第一个高危漏洞算是雅虎的吧，收获的赏金也非常可观。非常幸运，因为当时只有香港居民可以使用雅虎的支付功能，恰好那个时候在香港也没多少 Bug Hunter。所以，当时花的时间也并不算太长。