从补天白帽大会看网络世界那些“挖洞”的人

234 845

因为比特币的兴起,我们渐渐熟知在网络的世界中有一群“挖矿”的人和这个词的涵义。不过还有一个与之相近的词同样脱胎于网络世界——“挖洞”,它的背后同样围绕了一个群体——“白帽子”。

如果说黑客是人们眼中经常进行网络攻击的那群人,那么白帽子则是与之对立的一个群体,他们在网络的世界中做的事情就是“挖洞”。

你也许好奇“挖洞”究竟代表什么,其实它是挖掘漏洞的简称。用360企业安全集团董事长齐向东的话说,计算机网络由程序员用一种语言开发,就像人类用语言进行演说、表述一样,语言表述的过程当中经常出现语法性的错误,这些错误容易引起语义上的差别或者差异。计算机领域把这些说话时考虑不周全或逻辑性的错误等称作漏洞,这些漏洞容易被人拿来进行网络攻击,就像我们说话不注意出现瑕疵之后被人抓住把柄攻击我们一样。

白帽子在网络中挖掘漏洞的目的并非进行攻击,而是将漏洞信息提交给产生漏洞的网络开发和运营主体,进而对漏洞进行修补、打补丁等,从而让网络世界变得更安全。近日,由360主办的补天白帽大会在深圳召开,数百名白帽齐聚一堂,会议向外界传达的信息很简单,即调动全社会白帽精英力量,建立企业与白帽子的协同机制,从而全方位解决网络安全隐患。

白帽子是谁?

白帽子是热爱于钻研网络安全技术的一群人,他们大多是90后,不但年轻,甚至学历并不高,自由职业,部分也有本职工作。在整个社会的大集体中,他们是一个新兴群体,法律对于他们挖洞的行为基本上也处于空白状态。因为挖洞和黑客攻击行为仅一线之隔,但目的却截然相反,所以在法律面前并无明确的细则界定和监管。

正因为如此,在去年曾出现影响较大的白帽被抓事件,国家网络与信息安全信息通报中心副处长张秀东在补天白帽大会上就指出,漏洞分析工作是一把“双刃剑”,既可以用来发现安全问题、消除安全隐患,如果管理不到位、被别有用心的人利用,也可以作为网络敲诈、窃取数据甚至实施攻击破坏活动的“敲门砖”。

所以,很多白帽子更喜欢挖掘一些非常重视安全的企业漏洞,他们对白帽子的成果非常赞同,并与白帽建立了良好的互动。白帽往往还会得到这些大企业的奖金报酬,但和黑客在黑产中所得到的收入相差甚远。补天漏洞响应平台上的白帽“U神”说,黑客在黑产中一天赚的钱要比白帽挖一个月漏洞得到的收入还多。

但黑产明显是触犯法律的,白帽在挖洞过程中往往也小心翼翼,比如要证明某个漏洞会影响企业的多少数据,正确的做法是读取几条数据或做一个统计,但一旦对整个数据进行了下载,即面临法律风险,即使目的并不是为了攻击或私利。

假如缺了白帽子

上面说到白帽子是与黑客相对立的一个群体,假如没有白帽子,网络中的漏洞不会因为他们不挖而不存在。相反,大量的漏洞会掌握在黑客手里,从而会对网络安全产生更大威胁。

以国内最大的OTA服务商携程来说,开发人员3000多人,安全人员只有四十人,在不少互联网公司中这个安全团队的人数还算比较大的。“但四十个人要去保障三千多个人开发出来的程序是安全的,毫无疑问人不够用的。”携程信息安全总监凌云直言。

一个网站攻击可能有几百上千个点,防御者要求几百上千个点做的一样好,挑战巨大,因为攻击者是占上风的。所以,对携程来说,希望借助外力也就是白帽子的力量让其系统更安全。过去一年,携程支付给包括补天平台的白帽子差不多一百万元,这也体现了其对白帽的认可。

从另一个层面来讲,网络威胁的态势愈加严重,补天平台大会期间发布了一份《2016年网站泄漏个人信息形势分析报告》,《报告》指出,2016年补天平台共收录了可以导致个人信息泄露的网站漏洞359个,总计可能泄露个人信息60.5亿条。如果没有白帽子挖洞进而促进企业补洞,网络安全形势会更糟糕。

某白帽子携带的密码破解锁

白帽挖洞之路

毫无疑问,白帽和黑客的身份转变仅在一念之间,所以为了对白帽进行积极引导,整个社会和法律需要做更多工作。与会嘉宾呼吁建立白帽子身份认证体系,让白帽子在法律法规的指引下,更有效率地挖掘漏洞,为维护网络安全贡献才智。

类似于补天漏洞响应平台提供了一个很好的平台,通过建立起厂商与白帽子之间的桥梁,积极推动互联网安全行业的发展。就像齐向东所说,白帽子的研究方法实际上是用网络攻击的方法,和做坏事的黑客从研究方法上来说没有本质的区别,如果是没有良好的沟通平台,白帽子和厂家之间就没有良好的沟通渠道,厂家也没有办法辨别一个网络安全的研究者对产品的“攻击性”的研究是出于黑的目的还是白的目的,进而不利于推进安全产业发展。

补天漏洞响应平台负责人白健介绍,补天作为一个第三方的漏洞发现和报告平台,一方面鼓励白帽子及时发现漏洞提交到补天平台,另一方面平台及时把这些漏洞推送到企业和机构。

据了解,2016年补天平台的注册白帽子超过3万名,注册企业超过4千家,累计发放奖金近900万元。从一定程度上来讲,奖金激励的方式也在促进更多的白帽子正确的运用网络安全技术和他们挖洞之路。

而且,不少大型互联网公司或企业也在建立SRC(安全应急响应中心),这同样是给白帽子的发挥舞台和对他们的价值认可。以此看来,随着越来越多的企业不断对安全重视和投入,中国的网络安全产业的发展进程和环境正在加速发展和改善中。

THE END

补天阁重建罪魁祸首吞天雀逃脱,神藤种并非柳神给石昊最后的礼物复活全职药师

补天白帽大会:发布重要信息系统漏洞应遵循三原则

国内漏洞奖励计划大盘点博客

学员连挖3个漏洞?补天专属SRC高危漏洞挖掘全过程

从补天白帽大会看网络世界那些“挖洞”的人

1.360补天漏洞平台首页 帮助中心 平台公告 厂商咨询 登录 注册CHECK IN 为了更好的用户体验,我们建议您使用Chrome或者Firefox浏览器http://butian.360.cn/
2.仙剑奇侠传景天鉴宝BUG补偿事件最新进展揭秘:玩家权益维护与游戏在浩瀚的电子游戏世界中,仙剑奇侠传系列无疑是一颗璀璨的明珠。即使是经典如仙剑,也难逃BUG的困扰。近日,仙剑奇侠传中的景天鉴宝系统出现严重BUG,引发了玩家们的广泛关注和热议。本文将深入探讨此次BUG补偿事件的最新进展,以及游戏公司如何实现玩家权益维护与游戏优化的同步进行。 一事件景天鉴宝BUG风波 仙剑奇侠传中的http://m.mndjk.cc/mnzx/23336.html
3.全球首家漏洞响应平台上线发公开信邀企业参与全球首家漏洞响应安全平台“补天”(butian.360.cn)上线。https://tech.huanqiu.com/article/9CaKrnJFUGp
4.补天漏洞条件(一)补天漏洞条件(一) 补天漏洞条件 什么是补天漏洞? 补天漏洞是一种计算机网络安全漏洞,也被称为“断天漏洞”。它是指在软件、硬件或网络系统中存在的被黑客利用的漏洞,通过这些漏洞,黑客能够利用系统的弱点来获取未经授权的访问权限或执行恶意操作。 补天漏洞的出现原因 补天漏洞的出现原因往往有以下几点: ?编码问题https://wenku.baidu.com/view/49bbd61e1db91a37f111f18583d049649a660e3d.html
5.补天漏洞安全系统漏洞IoTAPP漏洞补天漏洞响应平台旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心),让企业更安全,让白帽子获益。漏洞平台为您提供权威准确漏洞、包括漏洞基本信息与描述、漏洞类型、危害等级、影响产品、解决方案等信息。https://xinyesrc.butian.net/
6.补天漏洞响应平台基本介绍补天漏洞响应平台基本介绍 警告 一、基本介绍 (一)专属SRC (二)企业SRC (三)公益SRC 二、漏洞提交流程和厂商奖励 (一)漏洞提交流程 (二)厂商奖励——漏洞奖励主要分为现金奖励,KB奖励和荣誉奖励。 三、 Web漏洞收录标准 (一)漏洞定义 (二)漏洞类型https://blog.csdn.net/xiaofengdada/article/details/125038478
7.补天漏洞安全系统漏洞IoTAPP漏洞补天漏洞响应平台旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心),让企业更安全,让白帽子获益。漏洞平台为您提供权威准确漏洞、包括漏洞基本信息与描述、漏洞类型、危害等级、影响产品、解决方案等信息。http://sec.qianxin.com/
8.补天漏洞平台多省市社保系统漏洞紧急修复40%信息是否泄露暂不确定 4月22日,专门处理第三方web应用漏洞等安全问题的快速响应组织——补天漏洞响应平台数据曝出,超30省市社保、户籍查询等系统存在漏洞,社保信息安全漏洞达5279.4万条。 2021-07-06 1.6K 上海未发现社保、户籍查询系统高危漏洞 https://m.shenlanbao.com/zhishi/tag/13703-1
9.补天漏洞重现小记上午十一点,部门大佬发了一个补天认领的漏洞,于是抓紧看了一波,发现是一个已经一年多没管的项目,看了下过程,原理大概知道,于是自己动手实践了下,惭愧,一直到下午才复现漏洞。 0x12 漏洞提交详情如下 很直白,大致就是:抓包后修改了返回结果,然后app将结果处理后进入下一步操作(查询订单等信息),这个时候白帽子已经https://www.jianshu.com/p/dd6a6df19517
10.补天漏洞响应平台“2022年白帽英雄榜单”出炉11月3日,2022补天白帽大会在上海顺利开幕,补天漏洞响应平台强势揭榜了本年度表现突出的“白帽英雄”。 平台从成长速度、漏洞挖掘数量、维护厂商数量、排名上升速度等方面全面评估,颁出了最具价值能力奖、最具公益能量奖、最具贡献精神奖、璀璨萌新奖等重量级奖项,2022年各大中国顶尖民间“白帽英雄”至此正式出炉。 https://t.10jqka.com.cn/pid_248779584.shtml
11.访谈︱补天一家不太一样的漏洞检测和响应平台一方面是漏洞响应与众测服务的快速发展,而另一方面,这种模式和它的核心人员——白帽子,也面临着业内的一些置疑和误解。为此,安全牛本次访谈栏目,走访了补天漏洞平台负责人白健。从他的口中,得已了解这家目前国内最大的漏洞检测和响应平台,以及如何看待并引导这一新兴事物的方方面面。 https://blog.51cto.com/u_15127683/2835453
12.补天发动3万多名白帽子找漏洞情报,这次有什么不一样雷峰网不久前,补天漏洞响应平台宣布,推出了全新的补天漏洞情报服务,将发动补天平台已注册的 36000 多名白帽子提供漏洞信息,经过安全专家分析研判脱敏处理后,加工成漏洞情报推送给行业客户。 补天掌门人白健在接受雷锋网在内的媒体采访时表示,除了 BAT 级的大厂有钱有人专门建立自己的 SRC 外,他认为,其他厂商不应该耗费大量https://www.leiphone.com/news/201709/b3ajiGwHgWjpAA2R.html
13.高校网站漏洞一年现2868个记者在补天漏洞平台看到一名“白帽子”(识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞的人)于10月24日提交的报告显示,北京师范大学(微博)的系统中存在一种漏洞,只要随便找到一个学号,就可以查询上万名学生和教职工的信息。 https://eitc.jxust.edu.cn/info/1116/1597.htm
14.补天补天-漏洞响应平台浏览人数已经达到3,296,如你需要查询该站的相关权重信息,可以点击"爱站数据""Chinaz数据"进入;以目前的网站数据参考,建议大家请以爱站数据为准,更多网站价值评估因素如:补天-漏洞响应平台的访问速度、搜索引擎收录以及索引量、用户体验等;当然要评估一个站的价值,最主要还是需要根据您自身的需求以及https://www.hackjie.com/sites/1222.html
15.多省市排查社保系统漏洞四成已修复披露此次漏洞信息的是补天漏洞响应平台,该平台是目前全球最大的漏洞响应平台,其漏洞数据同步公安部、网信办和国家漏洞库。 补天漏洞响应平台发布信息称,目前社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个,包含重庆、上海、河南等,涉及用户数量达数千万,可能发生泄露的信息包括个人身份证、https://www.fjrd.gov.cn/ct/3-93621
16.补天安全人才培养计划补天漏洞响应平台是致力于企业网络漏洞检测与响应的互联网安全协作平台,是国内白帽子数量最多、企业注册数量最多、发现漏洞数量最多、业界最有影响力的漏洞响应平台。 对于将“挖洞”作为施展自身才干、展现自身价值方式的白帽子来说,听一听白帽大咖分享的经验,绝对是一种快速的成长方式!补天& i春秋特别为大家整理如下https://www.ichunqiu.com/butian
17.补天漏洞平台发布最受白帽黑客喜爱的安全工具榜经过激烈的作者宣讲、现场交流、观众投票等环节后,在补天白帽大会之夜上,补天漏洞平台发布了“最受白帽黑客喜爱的安全工具”榜单,WebShell工具的集大成者哥斯拉斩获第一名。论坛主办方表示,期待评选机制,能够磨砺更多神兵利器,推动行业向前发展进步,未来能产生中国出品的IDA、Nmap、Metasploit等经典产品。 https://www.secrss.com/articles/34475
18.补天漏洞曝中国电信重大漏洞全国用户敏感信息存泄露风险近日,补天漏洞响应平台再次爆出中国电信某系统的重大漏洞。通过该漏洞疑似可查询全国电信用户信息,涉及姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作。10月29日上午10点,该漏洞已得到中国电信厂商确认。 “黑客发现这个漏洞的入口不是很难,比较低微的弱口令和越权操作就能进入这个系统。”补天漏洞响应平https://freessl.wosign.com/1218.html