访谈 | 对话版主【ScUpax0s】— 学习要保持开放的态度

Q：哈喽，版主好！很感谢您能接受采访，先和大家打个招呼，自我介绍一下吧～

A：Hello大家好，我是ScUpax0s—PWN版块的版主，目前是一名大三本科生。

Q：您是怎么与看雪“结缘”的？

A：看雪是之前的学长推荐的，主要是论坛里有很多干货而且学习氛围一直以来也比较好。

Q：版主一般是由自己先提交申请吧，您当时是抱着什么想法申请版主的？

A：首先我是国内某高校CTF战队现役的一名Pwn手，对于现阶段CTF的Pwn方向考察点非常熟悉，同时我也是一名二进制漏洞挖掘的学习者。希望能积极跟大家进行技术交流，更好的建设看雪社区。

其次，个人在积极探索CTF竞赛和实战安全研究中的交叉点，希望能通过自己的分享让更多CTF选手（Pwn方向）接触到更多偏“实战”的知识。

我也希望通过我的努力提升PWN板块活跃度，帮助新同学快速入门Pwn，获得更实用的CTF技巧。并且在这同时促进CTF Pwn与实际漏洞挖掘的接轨（比如多一些虚拟机逃逸，内核等方向的Pwn题题解）积极与板块用户分享相关知识。

Q：顺便帮论坛的小伙伴们问问，版主日常都做些什么？

A：目前主要就是做一些文章的筛选和整理。通过这种方式来维持看雪浓厚的技术氛围，帮大家过滤一部分劣质信息，推荐一些优质信息和资源。

Q：您是“科班”出身吗？     

A：没错，我是网安专业的。不过一开始不是，是通过转专业选择了网络安全。

Q：哦？网安专业哪点吸引了你？

A：主要是觉得这个专业比较“酷”，那个时候可能网络安全专业还没有现在这么火，不过我当时的直觉就是之后国家应该会很重视这块儿，就全身心投入网安了。

hh那您还蛮有预见性的！如今，网络安全无论放在哪个社交软件、哪个媒体上，都是一个超热门的话题，同时也确实是一个急需专业性人才的行业！

Q：说到人才，就会想起选拔人才的重要途径——CTF。近年CTF比赛举办得越来越多了，您参加得多吗？

A：之前参加过挺多比赛的，如Defcon、Google、强网杯、ciscn等等都有打过，看雪论坛我也会时不时发一些关于CTF赛题的解析文章，感兴趣的朋友们可以关注一波~

Q："有人说，安全界的CTF并非表现真实实力的方式，因为它不以现有软硬件为直接破解或攻击目标，距离现实攻防有距离。" 您对此怎么看？

A：我觉得CTF确实体现了一部分的能力和实力，主要是对于漏洞模式和利用方式上的能力。不过也承认确实与实战有些区别，因为CTF中的漏洞一般是比较明细并且相对老说容易利用的。

Q：CTF（PWN）与实际漏洞挖掘还是有很大区别的吗？

A：可能CTF中，更多的关注漏洞的利用，但实战中漏洞的挖掘也是一个难点。怎么去挖掘漏洞，怎么在漏洞中找到有利用价值的漏洞都是很大的问题。

Q：关于PWN的入门，需要学习哪些，对小白您有什么好的建议吗？

A：我个人觉得首先是要搞明白函数调用时的一些原理，再一个是要熟练阅读汇编。有这些基础后，可以针对学习一下csapp对应课程，提高一下自己的计算机系统的理解，后面可以尝试在各种平台做一些题。

Q：您在这几年的学习过程中，遇到过哪些困难？如何克服的？

A：主要是心态上的话遇到一些比较难的技术点可能会想退缩，不过后面觉得逃避是无法解决问题的，总逃避问题也不能很好的提升自己，还是要咬着牙去攻克一些技术上的问题。如果遇到一些坎我觉得可以稍微休息一下然后再鼓足动力去突破。

Q：接触网络安全后，最有成就感的一件事是什么？（或印象最深的一件事）

A：最有成就感大概就是第一次打线下赛然后拿到一等奖，感觉跟队友一起并肩作战很爽，这段经历也很珍贵，算是我CTF之路的起点。

Q：这行也是需要不断地充实、提高自己，俗话说：“活到老，学到老”。您有什么好的提高途径或方法吗？和大伙儿分享一下～

A：我个人觉得持续学习首先是要保持一个开放的态度，对待不同的技术要有包容开放的心态，不要排斥。然后就是可以多关注一些工业界的会议，比如BlackHat、KCon等，上面的议题都很不错，有一些很有复现or深入研究的价值。再一个每天可以关注一下看雪的推送，还有玄武每日推送，都是一个很好的学习新东西的途径。

Q：学习之余，有什么兴趣爱好？如年轻人都比较爱玩儿的王者、英雄联盟...

A：游戏我玩的不多，偶尔会玩一些手游缓解一下疲劳。平时会比较喜欢运动，例如跑步之类的~

Q：最后聊一聊您今后的发展方向？

A：我个人目前主要关注内核安全，以及容器安全这部分的内容，也同时欢迎大家来找我交流。