近来有很多小伙伴向我们寻问，谁获得了旅游大奖？目的地是哪儿？经过我们缜密核算，最终确定了Xsseng 获得了2017年第一季度旅游大奖，360SRC也将兑现承诺，送给他一次两人境外游的机会，不知道Xsseng要带谁一起开始一场说走就走的旅行呢？

除了要送给Xsseng我们的季度奖励，我们也为Xsseng准备了一些小问题：

Q：感谢Xsseng接受我们的采访，首先祝贺你获得了我们的首期季度奖励，能不能先简单地介绍一下自己呢？

A：大家好，我是林章，在福州某高校读大二，专业是信息管理。目前以学业为重，同时在课余时间挖掘漏洞，大部分时间都是给360挖掘漏洞，今年是在360挖漏洞的第三年了。表示获得第一季度的季度奖励很兴奋，接下来会争取今年拿到2-3个季度奖励〒▽〒

Q：哈哈，也希望林章同学可以在挖洞之路上越挖越深。这次获得季度奖励，有没有什么想去的地方，会和谁一起去呢？

A：大概是去日本吧，不知道可不可以。会和舍友或朋友一起去……第一次获得季度奖励，还没有准备好要去哪里玩→_→5-7天的时间，我可能安排在暑假或国庆，所以还没想好啦。

Q：当然可以啦，确实，5-7天的游玩确实需要好好安排一下。接下来分享一些挖洞的经验吧。

A：我挖掘漏洞会从3个点来挖。一个是新业务，第二个是新功能，第三个是测试中可能忽略的地方。

新业务就需要对企业的关注了，比如我会从服务器，新闻，域名三个方面对新业务进行挖掘，往往在新业务中存在较多漏洞。

新功能的话就比较简单了，一般会定期关注一些体量大的业务，比如360搜索，360游戏，不排除存在新功能不提测就上线的情况。

还有就是测试中会忽略的地方，我会针对一些可能存在逻辑漏洞的地方进行测试，比如支付阶段，登录阶段，在这些里面我挖掘出的支付漏洞是比较多的，比如这个季度就有订单支付漏洞。

最后我会对各个网站开发环境逐个进行记录，会在挖掘漏洞方面花费很多时间。

Q：果然优秀的白帽子都会有自己的一套方法。那对于新人有什么建议吗？

A：新人加团队，可以更快的了解360,挖掘起来也会事半功倍，比如我们团队...

Q：希望能对360SRC提出一些建议。

A：希望下次把季度奖励的可选旅游线路发布出来，同时也希望360SRC能开放个人主页功能。

感谢Xsseng接受我们的采访。同时也感谢所有为360SRC提交漏洞的白帽子们，正是你们，用正义的心，纯粹的追求，实际的行动，守护者万亿用户的网络安全！

白帽子的世界，没有华丽的舞台，没有闪亮的聚光灯，没有不停地换装，也没有热情的观众，有的只是卓尔不凡的安全团队和尽忠职守的白帽子伙伴们，他们始终信奉自己的理念，坚持自己的追求！

再次郑重地感谢每一位为360SRC提交漏洞的白帽子和每一位在暗处守护网络安全的安全卫士！同时也期待更多有志于网络安全的新人加入到360SRC，一起为一个更安全的网络环境而努力。

欢迎更多朋友们前来360SRC打榜，赢取季度奖励。

360安全应急响应中心的奖励方案详情：

https://security.360.cn/News/news/id/134.html

360安全应急响应中心

微博：@360安全应急响应中心   

微信：360安全应急响应中心