專訪丨互聯網安全城市巡迴賽冠軍肖策：「大滿貫」背後的祕密

導語：你所看到的讓人欣羨的榮耀時刻，是背後無數個日夜的辛苦付出！

在2019互聯網安全城市巡迴賽·西安站中，有一個白帽子拿下了8家大滿貫，這位大神就是【火石計劃杯】精英白帽挑戰賽的第一名：Reckfulyx，中文名：肖策，圈裏人都叫他R師傅。今天咱們有幸採訪到了R師傅，瞭解到「大滿貫」背後的一些故事。

 

 

0一、一個不安分的法律學生

本科是法律專業的R師傅，不安於現狀，飛去美國讀了網絡安全專業，偏安全管理方向的研究生。畢業後在2015年年末進入了某測評中心工做，剛開始作的是網絡輿情，與網絡安全技術方向並不沾邊，但媒體上常常報道出黑客相關的新聞讓這個圈外的小夥子產生了濃厚的興趣與崇拜感。

抱着濃厚的興趣在2016年的夏天，R師傅的哥哥Bruce準備在西安籌辦西部Kcon大會，當時的R師傅仍是一個不懂技術的圈外人，只能當個跑腿司機去機場接參會嘉賓。兩天8趟往返於機場和酒店之間，雖然比較辛苦，可是正是這個機會讓他接觸到了冰河夫婦、呆神、Oscar這樣的圈內前輩，經過聊天后，R師傅發現他已從感興趣上升到了對這個職業的嚮往。因而在2017年的10月份，正式開啓了白帽黑客學習之路。

 

 0二、菜鳥到高手的蛻變

學習歷來不是一件容易的事，尤爲是非科班出身，R師傅謙虛的說他是智商與理解能力很通常的人，因此提高本身的惟一方法就是堅持，別人看一遍的他看兩遍，四遍、八遍，直到學會爲止。這樣的學習方式搭配他的偏執型性格，使得在網安的學習路上打下了堅實的基礎。

採訪過程當中，R師傅有一句話值得你們共勉：「這個世界即使是有天才，那也必定是極少數。因此那些真正的大牛，必定是付出了極大的努力，久而久之才能走上巔峯。」

萬事開頭難，學習初期濃厚的興趣並不能填補零基礎的空白，甚至連‘C段’、‘子域名’都不知道是什麼。R師傅說：「記得接觸到的人生中第一個漏洞，是當時很火的Struts2命令執行，這裏很是感謝我當時的同事，不厭其煩的給我演示。」

• ‘net user xxx /add’
• ‘net localgroupadministrators xxx /add’
• ‘net user xxx /del’

當時這幾個命令執行了50多遍，一直感嘆於黑客技術的神奇。但這畢竟是一個甲方單位的網站，並不能讓他體驗好久。他開始苦惱於不知如何找地方進行實練，最後在萬能的百度嘗試輸入：Web安全哪家強？因而順利的開始了i春秋的萌新之旅。

R師傅說i春秋確實是國內專業的技術學習平臺，靶機環境讓他天天與各類漏洞親密接觸，在i春秋論壇能夠看別人分享的成功經驗，學習各類實用工具，向技術大牛請教專業問題，在這裏真的可讓小白少走不少彎路。

論壇快速通道：https://bbs.ichunqiu.com/portal.php?from=weixin

 

0三、挖洞寶典

從2018年2月R師傅正式開始接觸SRC的漏洞挖掘，截止到如今基本上全部的Web漏洞都有所涉獵。關於SRC的漏洞挖掘技巧，他總結了如下兩點：

第一是信息收集。你收集到別人沒有的資產，機會就多了幾分。

第二就是思路。R師傅說：「在我抱怨挖不到漏洞的時候，個人朋友Mango告訴我，若是一個漏洞特別顯眼，你能發現，其餘白帽子也能發現，廠商也能發現，那還有什麼意義。因此獨特的思路、靈活的進行各類測試纔是王道。我能挖到漏洞，並非由於我技術好，而是由於信息收集的多、思考得多。」

參加了屢次挖洞比賽，R師傅說最刺激的應該就是此次互聯網安全城市巡迴賽線上賽，8家SRC大滿貫的話還能夠額外加200分。其實中間有兩家一直沒有挖到漏洞，十分苦惱，最後在截止日當天的23：55提交了一家的SQL注入，23：58提交了另一家的csrf，絕殺，刺激！

 

 

 

0四、經驗分享

有不少新手小白在i春秋論壇或者交流羣向R師傅請教學習方法，R師傅說：「其實我我的以爲Web安全是最好入手的，簡單談一下對Web的理解：

若是是相關專業的或者程序員之類的，那麼恭喜你，直接找找漏洞原理而後上手操做就好。

若是是跟我同樣零基礎的，最重要的就是有強大的興趣和慾望支撐本身學下去，由於光輝時刻老是很短暫的，背後是無盡的孤獨與煎熬。」

在他看來，工做和學習都是須要經歷各類失敗與挫折，而後不斷的總結、完善。在這個領域裏，不多有人能夠作到大滿貫，把Web、CTF、APP、逆向、工控所有涉獵，因此R師傅選擇Web做爲惟一的方向。

圈內前輩不少，各類實戰經驗、技巧的分享文章也不少，並不須要首創一門本身的學習路線。R師傅選擇使用他的偶像豬豬俠在先知大會分享的議題做爲本身的學習路線。

目前R師傅給本身定的短時間規劃是先學會PHP與SQL，而後在不斷的實踐中完善相關的知識體系。他但願將來也能夠像豬豬俠同樣，成爲一個全能型的精英白帽。以上是R師傅的經驗分享，最後他祝你們在這條‘不歸路’上面越走越遠、越走越好。

PS：若是你想向大佬們請教問題，或者想與其餘人分享學習的心得感覺，歡迎進羣交流：262108018，在這裏，會有一羣志同道合的小夥伴，讓你的網安之路不孤單！