酷应用

一个月拿下2172分，谁刷新了AFSRC新记录

看点作者：有料 2017-06-06 02:54:17

AFSRC喜报 恭喜a0zy 以2372分获得蚂蚁金服安全应急响应中心2017年度第一季度第1名的荣誉勋章，并已成为AFSRC安全研究员。同时基于a0zy对于蚂蚁金服的安全工作的突出贡献，经过综合评定，特授予其月度奖励：额外奖励现金7000元。

进一步了解大神 Q 为什么会来SRC？ A 强烈的好奇心+天蝎的神秘感。玩ctf学到各种新奇知识，nsctf2015手工反编译一个pyc拿到flag感觉太有成就感了。后来学逆向，学无线，学pwn 太贪婪了... 后来面试官告诉我知识面广是优势，但深入研究一到两个方向才是绝对优势。然后才开始实战刷src。 Q 谈谈第一次挖AFSRC漏洞经历 A 都说afsrc难挖，挖过才知道，蚂蚁的修复速度真是一流。同一种利用方式，基本上很快就全线修复完毕，保证同一payload无法二次利用。所以afsrc给的奖金最高是有道理的。这才有意义，为企业提供漏洞的同时，自己的思路也不断扩展，企业能够迅速响应并全线排查。同时给出高额奖金回报，这就是对白帽子工作成果的尊重。让挖洞不再是repeat do，而是自己思考一种攻击方案，然后实现并证明危害。 Q 都说支付宝漏洞难挖，你有什么诀窍？ A 1.知己知彼根据自己技能点和afsrc评分标准确定出最佳实践方案。 2.思考甲方企业容易出问题的点，owasp top10等常见漏洞不多，可从常规扫描器无法扫描的漏洞去尝试。 3. 在蚂蚁挖漏洞得靠思路，而非重复做无意义的尝试。 Q 你觉得学校的学习重要吗？ A 深入研究某一个领域的话，基础很重要。无所谓上课，兴趣驱动学习，任何优秀的黑客他学习新知识的能力一定是非常强的。知识更新非常快，所以必须学会学习，但人的精力又十分有限，所以就得选择性学习，学习自己未来想要深入研究领域的基础知识，先打牢基础。其实我觉得大学的意义并不是教会我多少专业知识，而是让我学会如何思考，如何自学。得通过不断学习来保证自己不落后。我们大学比较松，所以有很多时间来反省思考自己。 团队成员寄语 挺好的一个小伙子，对待技术认真负责，曾经带着网络尖刀107团队打CTF获得还不错的成绩，期待他成长的更快，走向大牛的道路！ ——网络尖刀疯子我眼中的a0zy是ctf牛人，乐于助人，喜欢帮助小伙伴，挖漏洞也很强，很细心的人 ——网络尖刀羊小弟一位很不错的小伙伴，经常一起交流，挖漏洞也很厉害，很有耐心，而且技术也不错 ——网络尖刀y1ng