Ask @ManhLuat:

Em chào anh Luật. Anh cho em hỏi muốn tiếp cận với những web attack vectors/techniques mới thì tìm hiểu ở những nguồn uy tín nào ạ ? Ngoài lề thì anh cho em hỏi anh nghĩ sao về XSS ? 1 bug XSS liệu impact có thấp vì là client-side vulnerability và liệu nó có lỗi thời hay không ? Em cảm ơn anh ạ.

em chịu khó follow và quan sát những idols trên mạng tìm ra những người tốt nhất thôi. Có vài nhóm bang hội mà anh thích: portswigger, nccgroup, cure53, labdetectify, ... nhiều lắm.
Em có thể tham khảo following của anh =)))
https://twitter.com/l4wio/following
--
Em nên chấp nhận việc client-side vuln là bị đánh impact thấp hơn những bug server-side thôi, công bằng đánh giá mà nói nó đúng là vậy mà.
Nhưng anh vẫn nghĩ XSS hay, hay vì nó mới, nó quá nhiều hướng để sáng tạo, nó có còn quá nhiều vấn đề để secure và cả tấn công.
Lỗi thời thì không chắc, a không biết được tương lai, có thể về sau nó là XS-Leaks hoặc thêm 10 loại attack client-side vuln nữa chẳng hạn... who knows.

View more

Hello anh Luật. Dưới góc nhìn của anh, để bắt đầu làm binary exploitation thì nên bắt đầu từng single bug (BoF, Integer overflow, Heap,...) hay là học về fuzzing trước? Và nếu là từng single bug như đã nói ở trên thì anh có lời khuyên gì cho người bắt đầu tìm hiểu? Chúc anh sức khoẻ.

Theo anh quan sát những người giỏi thì họ thường bắt đầu bằng audit trước rồi sẽ tới suy nghĩ cách fuzz, song song lại tiếp tục review code trong khi fuzz đang chạy (hoặc suy nghĩ cách fuzz hay hơn nữa), đấy quy trình tìm bug nó 1 vòng tròn như vậy.
Còn nếu em bắt đầu fuzz trước, okay em vẫn có thể ra bug đó, rồi em cũng sẽ có thể thành công luôn! Ai biết được, fuzz nó có yếu tố xác suất trong đây, nhưng mà thật sự nếu em là một người thợ săn giỏi thì giác quan của em sẽ rất tốt, em biết mình nên săn như thế nào, ở đâu. Cái giác quan đó lại phải tập luyện nhờ đọc code, đọc các writeup, previous work, blah blah.

View more

Anh ơi khi report cùng 1 bug cho Microsoft mà 1 người report trước chỉ crash, người sau leo được quyền thì có tính là trùng nhau không ạ ?

hoangduong9’s Profile PhotoHoang Duong
Cái này... tùy em ơi. Phải xem phản hồi của Microsoft ở bug đầu tiên kia là gì trước đã.
Bị cho là "Won't Fix" hay là một valid bug.
Cái này quy trình nó tùm lum, mình cũng không hiểu hết.

View more

Related users

Anh đánh giá thế nào về khoá WAPTx v2 (eLearnSecurity) và SEC542 + SEC642 (SANS) ? Những khoá học như thế có đáp ứng đủ nhu cầu để đi làm Web App Pentester hay không ?

Theo anh thì cách học mới quan trọng, hơn là chọn khóa học nào.
Nếu em có 1 cách học hiệu quả thì học gì cũng đc, tự học còn được.
Cách học của anh thì đã được anh chia sẻ trên blog của mình.

View more

tôi năm nay đã 28 tuổi , liệu có quá muộn khi đam mê ctf

Theo những gì mình thấy tình hình CTF thế giới và trong nước thì có người 30-40 tuổi vẫn chơi.
Nếu bạn không bị áp lực về thời gian/kinh tế và chỉ muốn tham gia cho vui thì triển thôi.
Còn để try hard và chơi lút cán để leo top Tier 1 team như mình đã từng thì ... e là khó vì phải bỏ ra quỹ thời gian, tập trung, hard core lắm.
GLHF!

View more

Mục tiêu cuối cùng trong sự nghiệp của anh là gì? Anh đang làm vì điều gì? Mẫu hình tượng sau này của anh là gì? Em hỏi câu này vì hiện em đang làm pentest tại cty X nhưng gặp phải sếp ko tốt làm em mất đi đam mê và hứng thú trong công việc. Em đang tìm 1 thứ mới mẻ cho côg việc của mình.

Câu này khá dài, anh sẽ để đây, vì sợ nó trôi mất (ask.fm khá sida)

View more

ai cũng có lúc bắt đầu khó khăn đúng không anh? em luôn muốn tìm câu trả lời về vấn đề này từ các anh. Từ lúc bắt đầu, là lúc mà mình không hề có kiến thức gì , anh đã học và thực hành, tìm hiểu như thế nào ?. Cụ thể hơn về exploit chẳng hạn, mong anh có thể trả lời rõ ạ

trong cbjs talk#5 a sẽ bàn về câu hỏi này.

View more

Lúc anh mới bắt đầu với nghề của anh, anh có định hướng rõ ràng hay không ?

Anh nghĩ rất ít người mà có thể định hướng career path rõ ràng từ lúc bắt đầu, trừ khi là nối nghiệp gia đình hay ba má sắp đặt thôi.
Em cứ từ từ làm và theo đuổi thứ mình thích, quan sát, trải nghiệm thì sẽ dần định hình được nó thôi.
Nghĩ ít đi, làm nhiều hơn.
(Nhưng không có nghĩa là không nghĩ)

View more

Anh có bao giờ tự ti về trình độ chuyên môn của bản thân ko ạ?

"Tự ti là hành vi tự quở trách bản thân bằng cách tự coi thường, đánh giá thấp hay nói xấu chính mình hoăc tự cho mình là kém hơn người,hoặc quá khiêm tốn. Đôi khi người ta tự ti để gây cười hoặc giải tỏa căng thẳng."
https://vi.wikipedia.org/wiki/T%E1%BB%B1_ti
--
Hồi trẻ thì nhiều, chủ yếu là cảm giác thấy trình còn còi, còn quá nhiều sai lầm nên luôn cảm giác phải phấn đấu để tiến bộ, cái này là một động lực để phát triển. Tự ti là một nguồn năng lượng rất lớn để tiến bộ chứ không phải dùng nó để ngồi úp mặt vô gối than thân trách phận.
Hồi xưa có coi stream của QTV (game Liên minh) ảnh có nói một câu đại loại như: "Team xanh mà vẫn thua là trách tui tạ, còn tui xanh mà team vẫn thua thì trách tui không đủ trình để gánh team"
Bây giờ thì đôi khi vẫn có chứ, nhưng thường nó là việc nghĩ rằng mình đã có thể làm tốt hơn trong trường hợp đó, nhưng anh chỉ take note, và tiếp tục di chuyển, hạn chế tối đa hoặc hoàn toàn cảm xúc tiêu cực. Chỉ nhìn vào mục tiêu mà mình đang nhắm tới, sửa đổi, hoàn thiện, làm mọi cách để đạt được hoy.
Dần dần theo thời gian, khi em ngày càng cứng hơn thì sẽ biết được giá trị của mình nằm ở đâu (self-awareness) và không phải lúc nào cũng đem so sánh khả năng mình với người khác. Mỗi người đều có điểm mạnh/yếu.
Có thể họ giỏi ở lĩnh vực này, nhưng ở một vấn đề khác họ vẫn có thể là một beginner. Nói vậy cũng không đồng nghĩa là mình được lơ là và dễ dãi với bản thân, mà phải liên tục phấn đấu, cải thiện liên tọi để đạt trạng thái, phiên bản tốt nhất của mình.
Peace

View more

Điều sung sướng nhất của anh khi làm việc là gì? Giống như CTF, tìm ra flag là sung sướng. Anh hãy kể 1 vài trường hợp mà làm anh hứng thú với công việc, làm anh quên ngủ hay quên anh, quên đi tất cả để giải quyết nó cho xong.

KevinKma’s Profile PhotoK3v1n
vui nhất là ra bug thôi :)) nếu e chọn đúng target sẽ còn ra tiền (hoặc nhiều tiền) nữa <3
Đối với riêng anh thì anh cố gắng hết sức để `enjoy the game not the points`.
----
Để quên ăn quên ngủ thì chắc là vài case thực tế trong quá khứ:
1 là đang giải quyết những bài toán khó/hay, cảm giác hứng thú + cay cú + cứng đầu khi đã đến những bước cuối cùng và sắp ra thành quả (... hoặc không)
2 là đua top, nhớ đợt Whitehat CTF gì đấy (team REBD) anh thức trắng 36h để đua lên 1st vòng loại, cho đến khi kết thúc vẫn ko thấy buồn ngủ =))
3 là có đợt ra đề 0ctf 2018, anh đặt mục tiêu ra những cái đề để đời với những chủ đề lạ nên brainstorm trong vòng 1 tháng liên tục để suy nghĩ và code những cái đề cực kì phức tạp, làm cho nó logic hết sức có thể, cho tới giờ nó là mấy cái đề a vẫn rất tâm đắc.
--

View more

Tại sao anh lại chọn cho mình lĩnh vực browser exploit vậy? Ở Việt Nam lĩnh vực này không phổ biến. Có phải chăng anh đã nhìn thấy xu hướng đó ở các công ty nước ngoài và theo đuổi không? (Không ẩn danh đâu nhóe :D )

KevinKma’s Profile PhotoK3v1n
A thích thì làm thôi :)) Nếu em theo dõi sẽ biết anh đi từ mảng web, nên nó thân thuộc với a hơn. Và nó rất rộng, như kiểu chơi game open-world, em có nhiều mảnh ghép hơn để sáng tạo bức tranh cho mình.
______
Thiệt ra top trending trong mảng exploit bây giờ nó có nhiều thứ khác như: virtual machine, kernel, sandbox, hardware (cpu/chip các thứ)
Mảng nào cũng hay.
______
Nhưng đúng là em có thể thấy bây giờ cái gì cũng based trên browser cụ thể là nhân Chromium. Vì chromium/v8 bây giờ nó làm quá tốt đi. Bà con đang đổ sang dùng CEF (https://en.wikipedia.org/wiki/Chromium_Embedded_Framework) vì nó dễ cross-platform, khỏi phải lăn tăn, 1 lần làm cái web app là chạy trên hết Linux,Mac,Windows các kiểu luôn, đổi lại nó thảm họa vl. bây giờ 1 bug của chromium là ảnh hưởng đến rất nhiều thứ, dễ bị quất bởi các n-day (bug đã bị công bố nhưng các nền tảng khác based trên chromium chưa update kịp sẽ dính đòn). Điển hình là Electron, em có thể tìm hiểu, 1 cái bug XSS có khả năng escalate thành RCE luôn.
Bởi vậy hạn chế cài các app CEF (ví dụ: Slack, Google Hangouts, etc.)

View more

Vậy nếu anh không chú ý vào GPA thì anh chú ý vào những gì ạ ? Và nếu em không phải chuyên ngành Security và cũng không có những giải thưởng, research về security, nhưng có kinh nghiệm của developer và vẫn có đam mê với hướng security thì những công việc khởi đầu em nên làm là gì ạ ?

Anh sẽ dành câu hỏi này cho cyberjutsu talk #4.
Mong em đón xem

View more

Hi anh, em muốn làm bug hunter, thứ nhất là vì tiền, thứ 2 là em cảm thấy nó thú vị. Em dạo qua một vòng thì thấy mọi người đều bắt đầu với CTF. Vậy ngoài CTF còn con đường nào khác để đi lên bug hunter không ạ?

Như anh từng chia sẻ, CTF giống như việc em tập luyện trong nhà, hít đất, kéo xà, xoay đầu, tất cả những kĩ năng mà em cần có. Lúc đang chơi, em vừa tập luyện, vừa học hỏi từ những người xung quanh, vừa rèn luyện ý chí, sự dẻo dai bền bỉ, kĩ năng giải quyết thử thách, kĩ năng tiếp cận vấn đề, tìm hiểu cái mới , blah blah...
Còn khi ra ngoài thực chiến thì đủ mọi tình huống xảy ra từ bug khó tới bug dễ (nhiều khi 1 cái bug đơn giản nhưng impact nó cao, tiền thưởng gấp mấy lần 1 cái bug phức tạp, đó là chuyện bình thường).
==> Tùy vào sở thích/tính cách em, em thấy mình hợp cái nào thì làm cái đó, có người đi tìm bug vẫn ko cần chơi CTF (a cũng chưa thấy ai ko chơi, ít nhất 1 năm họ cũng vào ngó vài bài CTF, vì có thể họ thấy họ sẽ tìm đc điều gì đó).
Em hoàn toàn có thể ko cần luyện tập mà đi ra ngoài thực chiến để lấy kinh nghiệm trực tiếp luôn (mà thật ra có mấy bài CTF có những idea rất thực tế, thậm chí là 0day).
Túm, em ko nhất thiết phải chơi CTF cả ngày và đi lại đúng con đường của ng` khác đã đi. make your choice. *nhưng* CTF là một hình thức dễ tạo nên sự hứng thú, cạnh tranh để có thể phát triển kĩ năng ở nhiều mặt.
----
Và cũng nên phân bố thời gian hợp lý, cân bằng giữa 2 việc này

View more

Em thật sự muốn làm hacker và làm trong redteam penetration testing. Anh chỉ giúp em hướng học và những thứ cần học với ạ :3. Em cảm ơn anh.

Em thật sự muốn thì xách quần lên và google: "How to become pentration tester"
- Đọc sách, học và làm thực tế tất cả những thứ cần. cái anh nói là em thật sự "học" nhé, em phải hiểu rõ nguyên lí hoạt động của các thứ ra sao, học nền tảng, nắm chắc background, biết lập trình, etc.
- V1i dụ: anh thích chụp hình thì a sẽ tự động túm quần lên và cầm máy chụp lên và làm nó, ngay và luôn. Dù biết tất nhiên thời gian đầu sẽ khó khăn, nhiều thứ cần phải học ? nhưng việc gì lớn mà chả cần bước tập tọe đầu tiên ? JUST F*KEN DO IT!
Có thể tham khảo thêm: https://l4w.io/2017/07/bat-dau-hoc-an-toan-thong-tin-nhu-the-nao/

View more

Anh cho e hỏi là mấy công ty nước ngoài đó thường yêu cầu tiếng anh như thế nào ạ? Với chuyên môn thì họ đòi hỏi ra sao? Và thường thì có những ngành nào liên quan đến infosec ạ? Em cảm ơn ạ. <3

Một phần câu trả lời em có thể tìm ở đây: https://ask.fm/ManhLuat/answers/153227133109
Ngoài ra:
- Muốn làm giỏi thì làm nhiều
- Muốn hack giỏi thì hack nhiều
Tương tự: em muốn tạo nên sự tự tin, lưu loát, đối diện với áp lực khi phỏng vấn, biết câu nào nên nói câu nào không thì em phải phỏng vấn nhiều. Đi phỏng vấn em chả mất cái gì cả, tại sao ko đi apply tất cả các vị trí đang tuyển trên các trang tuyển dụng (anh thì chỉ hay dùng linkedin, và cũng nên để mắt tới các tài khoản twitter của các chuyên gia trong nghề, khi họ cần tuyển thì nếu em apply qua twit họ sẽ dễ nhận dạng ra à em là người trong nghề, thế thì nhiều khả năng em sẽ standing out ra khỏi đống CV kia).
- Bỏ 1-2 giờ đồng hồ ra đi đồng hồ chả mất cái gì, chỉ có lười thôi. Hồi xưa lúc a bắt đầu đi pv các cty nước ngoài, tiếng Anh của anh bập bẹ, nghe cũng chả xong. Nhưng cứ dần đối diện với áp lực khi trực tiếp nói chuyện, anh học hỏi nhanh hơn và ngay cái khúc mà em pv đó. Với trong lúc thực tiễn vậy, anh nhận ra ngay khúc đó có một số khúc kiến thức anh rất sợ bị hỏi (vì rõ ràng mình còn lũng đoạn ngay chỗ đó), và ngay sau đó a sẽ tìm cách để học, bổ sung và lấp ngay chỗ lủng đó. Dần dần, a sẽ cảm thấy tự tin, tâm lý thoải mái hơn.
- Nên nhớ, lúc nào đi pv, performance của em cũng sẽ thấp hơn bình thường, em sẽ bị run, panic, đó là chuyện bình thường. Khi em đặt mục tiêu là 10 điểm thì thường sẽ chỉ được 6-7 điểm. Nên bởi vậy phải chuẩn bị và rèn luyện kĩ hơn nữa và đặt mục tiêu là 15, thậm chí 20 điểm, thì khi em đáp xuống nó sẽ ở đâu đó 10.
- May mắn là cần thiết cho tất cả mọi sự thành công, nhưng nó chỉ đến với những người sẵn sàng. Em phải trong tư thế luôn sẵn sàng, chỉ cần sợi dây đó đến là chụp và kéo ngay. Còn với một người lười nhát, may mắn nó đến, nhưng tâm trí của họ thì lơ lửng, còn bận phải thay đồ, tắt điện thoại đang chơi PUBG dở thì làm sao bằng một thằng đã trong bục xuất phát ?
- Chuyên môn thì tất nhiên sẽ tùy thuộc vào level, vị trí em đang apply, sao a có thể tóm gọn hết được. Một cách để nhận ra em cần chuẩn bị gì là nhìn vào title và job description của nhà tuyển dụng, và hình dung với từng ấy kĩ năng họ yêu cầu, thì đoán xem họ đang cần một người như thế nào ? họ đang cần 1 pentester ? họ đang cần 1 người nghiên cứu AI để áp dụng vào gì đó ? Họ đang cần một người research về mitigatiosn ?
Hình dung mấy thứ đó ra trong đầu rồi bắt đầu vạch ra những thứ cần ôn luyện, nắm chắc nó.
Vì trong lúc pv, họ ko chỉ hỏi em về kĩ thuật mà còn là về cái view, cái attitude, nhận thức của em về cái vị trí đang apply.
* Nên nhớ * ngoài kĩ năng, cái mà nhà tuyển dụng muốn tìm kiếm đó nữa là: thái độ, tư chất, khả năng tiềm tàng, lĩnh hội của em, nhất là những vị trí liên quan đến research.
Infosec jobs bao gồm cái gì thì anh ko thể list ra hết đc, nhưng về cơ bản gom nó lại thì theo anh có vài thứ, em có thể đọc ở đây: https://l4w.io/2017/07/bat-dau-hoc-an-toan-thong-tin-nhu-the-nao/

View more

Anh ơi anh tư vấn giúp em lộ trình để trở thành một hacker toàn diện với ạ, em thật sự rất thích, em cảm ơn anh.

chả có ai là toàn diện đâu em ơi.
Cũng như em chơi game vậy, khi em lên 1 cấp em sẽ có 10 điểm để cộng vào các cột chỉ số.
Em chỉ nên tập trung điểm vào 1 tới 3 cột chỉ số chính để phát triển hết khả năng dựa trên phẩm chất riêng của mình. Mỗi người chỉ có 24h 1 ngày thôi, em phải phân bố thời gian hợp lý. Còn nếu thiệt sự em muốn trở nên "toàn diện" thì ... cứ mỗi tối lên giường thử nghĩ xem: "hôm nay mình đã làm đc gì ? mình đã tiến bộ thêm chưa ?", đại loại là em phải bị ám ảnh bởi việc trở nên tốt, tiến bộ hơn mỗi ngày đó.
Còn việc làm sao để em tìm ra được khả năng của mình tới đâu thì phải tìm tòi, thử nghiệm nhiều thứ. Việc phát hiện ra bản thân mình có năng khiếu về cái gì cũng là một thử thách.
know yourself, be yourself.
be the best version of yourself.

View more

+1 answer in: “anh Mạnh Luật bắt đâu với Sec từ khi nào, thời gian cụ thể đi anh”

Next