本文共750+字,预计阅读2-3分钟。
前几天,很荣幸受主办方邀请,还拿了CNVD的一个“年度最有价值漏洞奖”,说一说,这几天的故事吧。
11月20号,意外收到一个会议邀请,当时还比较诧异,印象中我在CNVD并未提交过多少漏洞。思虑良久,确认接下来没有比较重要的工作安排,还是决定提前一天去帝都看看。
到了帝都,还是按奈不住对这座城市的好奇,开始去周边探索。坐上公交,听着老人家说一口地道的北京话,走在路上,跟随者人流往前走,这个季节,还是有不少人来北京旅游。
先后走过天安门,长城,鸟巢,圆明园,这一趟,总算知足了。
到别人的城市,去看看别人生活的样子是什么样子的,很喜欢一句关于旅行的意义的话:
旅行,就是在路上见天地、见众生、见自己的过程。
到了会议时间就系入座,和旁边的小伙伴开始聊了起来,我旁边的是YY-2012(一个他很少向别人提及的id,WooYun 核心白帽子 Rank TOP 3),一起聊了很多话题,以至于听后面几场会议报告,都不会觉得很无聊。
到了颁奖环节,我,意外收获了一枚CNVD年度最有价值漏洞奖。获奖名单如下:
年度最有价值漏洞奖
第一个,腾讯玄武实验室,AndroidWebView 跨域访问漏洞
第二个,安恒信息,Struts 2-045 远程命令执行漏洞
从漏洞影响范围到危害级别,这两个漏洞早已声明鹊起。
第三个和第四个,都是个人报送者。
挖漏很多漏洞,很荣幸有一枚漏洞被评为是有价值的,对比起极少数厂商,拒不承认而偷偷修复漏洞的行为,深感欣慰。
一个有意思而富有技巧的漏洞,来自于不断的Payload调试+某一个瞬间闪现的灵感,这个漏洞挖掘的过程很难。即使是分享一个有意思的小技巧,也需要耗费原作者大量的时间。
拿到这个奖项,更多的是看做是一种认可,缅怀那些不眠的夜晚。
有些人喜欢刷漏洞,有些人喜欢写点东西,而我偏向于后者,即使我的文笔并不怎么好。喜欢研究一点技术,写写技术文章,顺便挖挖漏洞,在安全这条路,一直走下去。
保持技术初心,砥砺前行,与君共勉。