【采访大黑阔由你做主】之米安张天蜀黍

大牛简介:

【采访大黑阔由你做主】之米安张天-安全盒子

 

个人简介:张炳帅,《Web安全深度剖析》一书作者,安全研究团队破晓创始人,米安网安全培训创始人。信息安全专家,从事信息安全研究6年,擅长渗透测试、安全事件应急响应及安全工具研发,做过多个国家级信息安全项目。

团队地址:http://www.secbug.org

微信/QICQ:  97096782

Q&A:

小编:张老师,您好,首先呢非常荣幸您能白忙之中能抽出时间接受我们采访,也很荣幸能代表安全盒子对您进行采访,那么众所周知呢,我们看到2013年12月份呢,米安网官方网站上线,那么您刚开始创办米安的愿景是什么呢?

天哥:怎么说呢?当时我们学习的时候,网上的课程都比较杂乱,没有成体系的课程,很多网站的课程都是这一节SQL注入,那一节XSS,很乱,我们很难学习,只能完全学懂,然后自己梳理体系。当时也正在写《Web安全深度剖析》这本书,就把书的目录做成了课程,让更多的爱好者快速的学习安全、渗透测试课程,避免我们以前走过的许多弯路。索性,虽然米安没有去开个公司,但是还是不错的,因为网上到处都是我们培训的目录,我跟K0r4dji还是感觉挺自豪的。

小编:嗯 我们确实也看到您这边走出了不少优秀的学员,刚才您也提到了书的事情,我们也注意到您这边在15年十月米安网已出版《Web安全深度剖析》一书,那么您是在怎样完成了这本著作呢?其中有没有遇到什么困难?

天哥:我记得最初想写书的时候是在10年,那时候还在上学,去了北京OWASP大会,然后看到邀请写书,那时候就天真的想能不能自己写一本书,让更多的人学来学习呢?于是这个想法就萌生了,在10年的时候,那时候还是挺菜的,感觉写本书离自己好遥远,直到13年的时候,在西来大人的引荐下,开始动笔写。一写就是2年,中间确实碰到过许多问题(某个地方不清晰,就不敢写),不过在圈内朋友的帮助下一一完成了,我以自己在安全圈混而自豪。

路虽远,行则必达,事虽难,做则必成。 这句话,是我的座右铭,也是我们米安网,破晓团队的口号,这也是我在写书时,想放弃,却激励我没有放弃的一句话。我喜欢这句话,哪怕你是个XXX,认定一件事,一直走下去,路始终会到头的,努力,毅力。我希望刚踏入安全圈子的朋友,也能记住这句话,走下去。

小编:听完您这几句话还真是感到激励呢,您这边提到了破晓团队,破晓团队当时在补天是漏洞提交数量比较可观的,您也是圈内著名的专家,那么您是怎么接触到网安这块的或者您是怎么挖掘到第一个漏洞的呢?

天哥:Google大法好,inurl:news.aspx?id= ,然后放入啊D,一个SQL注入产生了,这就是第一次挖漏洞。
PS:以前这个不叫挖漏洞,现在有了wooyun,补天这类漏洞平台,所以叫挖漏洞了,那时候是以拿到服务器权限或者WebSHELL为标准的,当然,也没给你奖励,所以这里也感觉安全圈子的气氛正由这些平台带动起来,学习的同时还能拿Money太幸福了。

小编:听到啊D这些名词小编还是比较怀念的,小编当初也是用过这个工具呢,但是现在的网络安全状况我们也看到越来越好了,很多曾经的漏洞现在已经无法利用了,那么您对未来安全趋势是什么看法呢?

天哥:这个嘛,我看到了无数的WAF正在起来,北大XX,传智XX这类的培训机构都已经交学员怎么样防止SQL注入,XSS,逻辑等安全漏洞了,所以嘛,Web会越来越安全的,也就是说,Web层面的漏洞会越来越少的,当然,仅仅就少,不会绝,看万年弱口令就明白了。

小编:确实是这样,小编自己的笔记本上记载这一句话:无论目标网络规模有多大,安全指数有多高,只要是人类参与设计的网络,必然存在着人为因素,而任何人为因素都可能导致网络设计缺陷。web会越来越安全,但是还是会有些许缺陷,我们安全盒子也在努力确保越来越安全,那么我们也知道,您这边代码审计是十分优秀的,您认为代码审计在web安全中占据一个什么位置呢?

天哥:首先来说代码审计是非常有用的,但是从渗透的角度说,一些大公司很多都是不开源的系统,你是无法获取源代码的,所以,你代码审计可能就废了,意义不大,只能看你黑盒的渗透能力,但从另外一种角度说,有些开源产品,你挖到一个0day就可能可以渗透上千万个网站,从学习角度来说,我认为更是有必要的,因为它能让你懂得各种漏洞原理,我是这么认为的。

小编:确实我们也意识到代码审计占据了一个很重要的位置,也有很多安全爱好者,或者说是白帽子包括您这边的学院也在研究相应方面的内容,那么您有什么代码审计中的小技巧可以分享给我们大家吗?

天哥:技巧怎么说呢?一个程序猿应该掌握的知识你掌握了,在以安全的眼光去看,就差不多了。

小编:嗯 也就是说还是要通过不断地练习,不断地学习来巩固知识,当然即使有这些技巧也还是会遇到难点,那么当您代码审计陷入瓶颈时,您是怎么做的呢?

天哥:能陷入瓶颈的审计绝对不是一个好的程序猿~

小编:天哥一语中的,您最近在看什么书,有什么想推荐给大家的吗?

天哥:王爽的汇编第二版,各种补习底层知识。

小编:我相信大家也会努力向您学习,那么最近网安兴起,现在信息安全也是一门非常火热的专业,您对专业学生有什么建议吗?

天哥:搞Web安全,首先把编程搞好在去学,事半功倍。

小编:嗯 我们通过这次采访也看到天哥是一个严谨认真,然后热爱技术的人,那么天哥,您每天这样忙技术,什么时间来陪女朋友呢?

天哥:我其实是一个很爱交友,乐观积极向上的人。

小编:我也能从您的言语中体会到您也是一个蛮会生活的人,那么在采访的最后,因为我们安全盒子这边也一直在创始人王松的带领下为完善网安尽一份力量,想咨询您一下对我们安全盒子有什么看法或者建议吗

天哥:建议安全盒子多元化 接触一些更多的领域。

小编:嗯嗯 谢谢您这边的建议 我也一定会跟松哥这边说,也是今天耽误了您不少时间,代表安全盒子向您感谢全体向您表示感谢。