从补天白帽大会看网络世界那些“挖洞”的人

开通VIP,畅享免费电子书等14项超值服

首页

好书

留言交流

下载APP

联系客服

2023.12.29北京

因为比特币的兴起,我们渐渐熟知在网络的世界中有一群“挖矿”的人和这个词的涵义。不过还有一个与之相近的词同样脱胎于网络世界——“挖洞”,它的背后同样围绕了一个群体——“白帽子”。

如果说黑客是人们眼中经常进行网络攻击的那群人,那么白帽子则是与之对立的一个群体,他们在网络的世界中做的事情就是“挖洞”。

你也许好奇“挖洞”究竟代表什么,其实它是挖掘漏洞的简称。用360企业安全集团董事长齐向东的话说,计算机网络由程序员用一种语言开发,就像人类用语言进行演说、表述一样,语言表述的过程当中经常出现语法性的错误,这些错误容易引起语义上的差别或者差异。计算机领域把这些说话时考虑不周全或逻辑性的错误等称作漏洞,这些漏洞容易被人拿来进行网络攻击,就像我们说话不注意出现瑕疵之后被人抓住把柄攻击我们一样。

白帽子在网络中挖掘漏洞的目的并非进行攻击,而是将漏洞信息提交给产生漏洞的网络开发和运营主体,进而对漏洞进行修补、打补丁等,从而让网络世界变得更安全。近日,由360主办的补天白帽大会在深圳召开,数百名白帽齐聚一堂,会议向外界传达的信息很简单,即调动全社会白帽精英力量,建立企业与白帽子的协同机制,从而全方位解决网络安全隐患。

白帽子是谁?

白帽子是热爱于钻研网络安全技术的一群人,他们大多是90后,不但年轻,甚至学历并不高,自由职业,部分也有本职工作。在整个社会的大集体中,他们是一个新兴群体,法律对于他们挖洞的行为基本上也处于空白状态。因为挖洞和黑客攻击行为仅一线之隔,但目的却截然相反,所以在法律面前并无明确的细则界定和监管。

正因为如此,在去年曾出现影响较大的白帽被抓事件,国家网络与信息安全信息通报中心副处长张秀东在补天白帽大会上就指出,漏洞分析工作是一把“双刃剑”,既可以用来发现安全问题、消除安全隐患,如果管理不到位、被别有用心的人利用,也可以作为网络敲诈、窃取数据甚至实施攻击破坏活动的“敲门砖”。

所以,很多白帽子更喜欢挖掘一些非常重视安全的企业漏洞,他们对白帽子的成果非常赞同,并与白帽建立了良好的互动。白帽往往还会得到这些大企业的奖金报酬,但和黑客在黑产中所得到的收入相差甚远。补天漏洞响应平台上的白帽“U神”说,黑客在黑产中一天赚的钱要比白帽挖一个月漏洞得到的收入还多。

但黑产明显是触犯法律的,白帽在挖洞过程中往往也小心翼翼,比如要证明某个漏洞会影响企业的多少数据,正确的做法是读取几条数据或做一个统计,但一旦对整个数据进行了下载,即面临法律风险,即使目的并不是为了攻击或私利。

假如缺了白帽子

上面说到白帽子是与黑客相对立的一个群体,假如没有白帽子,网络中的漏洞不会因为他们不挖而不存在。相反,大量的漏洞会掌握在黑客手里,从而会对网络安全产生更大威胁。

以国内最大的OTA服务商携程来说,开发人员3000多人,安全人员只有四十人,在不少互联网公司中这个安全团队的人数还算比较大的。“但四十个人要去保障三千多个人开发出来的程序是安全的,毫无疑问人不够用的。”携程信息安全总监凌云直言。

一个网站攻击可能有几百上千个点,防御者要求几百上千个点做的一样好,挑战巨大,因为攻击者是占上风的。所以,对携程来说,希望借助外力也就是白帽子的力量让其系统更安全。过去一年,携程支付给包括补天平台的白帽子差不多一百万元,这也体现了其对白帽的认可。

从另一个层面来讲,网络威胁的态势愈加严重,补天平台大会期间发布了一份《2016年网站泄漏个人信息形势分析报告》,《报告》指出,2016年补天平台共收录了可以导致个人信息泄露的网站漏洞359个,总计可能泄露个人信息60.5亿条。如果没有白帽子挖洞进而促进企业补洞,网络安全形势会更糟糕。

某白帽子携带的密码破解锁

白帽挖洞之路

毫无疑问,白帽和黑客的身份转变仅在一念之间,所以为了对白帽进行积极引导,整个社会和法律需要做更多工作。与会嘉宾呼吁建立白帽子身份认证体系,让白帽子在法律法规的指引下,更有效率地挖掘漏洞,为维护网络安全贡献才智。

类似于补天漏洞响应平台提供了一个很好的平台,通过建立起厂商与白帽子之间的桥梁,积极推动互联网安全行业的发展。就像齐向东所说,白帽子的研究方法实际上是用网络攻击的方法,和做坏事的黑客从研究方法上来说没有本质的区别,如果是没有良好的沟通平台,白帽子和厂家之间就没有良好的沟通渠道,厂家也没有办法辨别一个网络安全的研究者对产品的“攻击性”的研究是出于黑的目的还是白的目的,进而不利于推进安全产业发展。

补天漏洞响应平台负责人白健介绍,补天作为一个第三方的漏洞发现和报告平台,一方面鼓励白帽子及时发现漏洞提交到补天平台,另一方面平台及时把这些漏洞推送到企业和机构。

据了解,2016年补天平台的注册白帽子超过3万名,注册企业超过4千家,累计发放奖金近900万元。从一定程度上来讲,奖金激励的方式也在促进更多的白帽子正确的运用网络安全技术和他们挖洞之路。

而且,不少大型互联网公司或企业也在建立SRC(安全应急响应中心),这同样是给白帽子的发挥舞台和对他们的价值认可。以此看来,随着越来越多的企业不断对安全重视和投入,中国的网络安全产业的发展进程和环境正在加速发展和改善中。

THE END
1.梅州漏洞分析工程师工资待遇(招聘待遇,就业前景)梅州漏洞分析工程师招聘工资收入多少钱一个月?招聘待遇怎么样?据统计,梅州漏洞分析工程师%的岗位拿,取自份样本。梅州漏洞分析工程师就业前景怎么样?。https://www.jobui.com/salary/meizhou-loudongfenxigongchengshi/
2.x蚁员工爆料:最近绩效出来了,CTO线老板帮员工背了3.25。最近听到一个挺有意思的消息,x蚁员工爆料:他们的CTO线老板居然帮员工背了3.25,意思是把某些绩效的责任给“背”了下来,免得员工受影响。 说到“背锅”,大家可能都能理解。前段时间支付宝接连出了两次大规模的故障,影响大到直接让不少用户炸了https://mp.weixin.qq.com/s?__biz=Mzk0MDI3MTE0MQ==&mid=2247504172&idx=1&sn=45e62ac076d44113e5c6daa33efa0dd2&chksm=c3ce8ec3cae632f9881ae8adf06118924269506ae928098cee5f47a16536291bc9c394c27294&scene=27
3.挖漏洞一个月能赚多少钱,挖漏洞零基础入门到精通,收藏这篇就够了文章浏览阅读324次,点赞3次,收藏10次。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。_挖漏洞一个月能赚多少钱https://blog.csdn.net/Python_0011/article/details/143191641
4.炒股经验技巧(精选17篇)殷有今天的成就,肯定是经过不断钻研股市总结出来的经历,优秀的人总有其独特的地方,每一个成功的投资者都不例外,炒股必须要有着自己的一套独特招式,没有方法确实是很难赚到钱的,殷xx大家所熟识的江恩八线和底部三绝,还有很多的炒股秘诀是鲜为人知的炒股秘籍。 https://www.diyifanwen.com/qitafanwen/jingyanjiaoliu/7468874.html
5.比特币挖矿全方位攻略:3分钟带你从入门到精通比特币区块链Q:比特币挖矿,能赚多少钱? A:挖矿的收益取决于多个因素,包括:矿工的算力、电费成本、比特币价格…等。 一般来说,拥有强大算力的矿工有机会获得更多比特币奖励。 但电费成本也是一个重要因素,影响最终的盈利能力。 Q:比特币挖矿,会带来什么影响? 比特币挖矿会对硬体市场产生影响,像是:显卡短缺和价格上涨。 https://www.jb51.net/blockchain/951980.html
6.core你觉得,core-js 一个月能帮我赚多少钱? 我在全职维护 core-js 期间,不算其他短工项目的收入,我每个月的回报大概是 2500 美元——只相当于我能找到的其他全职岗位的四分之一到五分之一。 但我愿意接受这一切,因为这能让 Web 变得更好。而且我觉得这一切只是暂时的,等问题和 bug 减少了,等产品的质量达到一https://www.infoq.cn/article/S8JSFyHXU8vowD1UphKP
7.《梦幻西游》从0到175要多久梦幻从0级到175要多久如果你天天都可以上线10小时以上,大概1年半就可以,但是需要你砸钱点技能点修,如果175级技能,修连,全满,大概需要9000RMB以上 。 6、《梦幻西游》开新区多少天能升175级 目前最高纪录是测试服的一个玩家,用了3个月,不到100天,不过测试服可能有相应的便捷,不过咱们也不太清楚。普通区的话 估计得5个月,这还https://www.773hf.com/wiki/36709.html
8.做一个小型网站多少钱/威海百度seo高中时,千霄就开始自学网络安全技术了,为了买《黑客X档案》——一本黑客入门级杂志、售价十元,他需要每天省一点吃晚饭的钱,“一个月才能省下这10块钱。”大二下学期起,他就通过参与各平台众测、挖漏洞获得奖金的方式缴纳学费和生活费、养活自己了。 http://www.nhpp.cn/news/360109.html
9.马上加入,尊享独特优势:下载网址专属平台2019最新平台送彩金活动,8k彩票优惠办理大厅老版,12月棋牌,ag捕鱼怎么玩的,888官方网站登录9323彩票App最新版的功能,10元5包微信红包接龙群二维码,6600公海彩船推荐人,360直播免费观看网球,365捕鱼官网914.2最新版官方游戏大厅有几个.cc2022年世界杯冠亚军竞猜,2比1让一球是平还是赢,7k彩票注册网站,188比分真实网址http://m.zhzmj.cn/20241217/96954958811.html
10.校园贷的调查报告(精选7篇)4.您是否知道他们的贷款利率如他们所宣传的那样低? 5.您对大学生使用“校园贷”持什么看法? 6.您一个月生活费介于多少钱之间? 7.您生活费的主要来源? 8.您每月消费的主要项目是? 9.您觉得您一个月的生活费能否满足您的开销? 10.面对心仪的商品却资金短缺时,您会? https://www.360wenmi.com/f/filep2a9de2r.html
11.涅槃团队掌门人高雪峰:一个iOS漏洞值多少钱雷峰网一个漏洞究竟值多少钱,终究是无法量化。然而有一件事不言而喻,那就是越赚钱的方法就越短命。 在诸多诱惑面前,高雪峰选择了白帽子这条“可持续发展”道路。他说,苹果公司非常重视安全。每一次iOS系统升级都会添加大量新的安全防护逻辑,这让iOS的漏洞研究难度与日俱增。不过,黑客的精神也正在于此。 https://www.leiphone.com/category/gbsecurity/hlmRT1LiTh0XTXxW.html
12.SRC辅助系统线上发布腾讯云开发者社区最近一直在开发一个小工具,用来帮助大家做好 SRC 挖洞的第一步,资产收集,当你想要开始挖一个企业的漏洞时,第一步就是要了解目标的资产收集的范围以及属于该企业的域名资产有哪些,那么使用今天的小工具,只需一步,就能获取目标企业的基本信息。 0x01 准备挖某个 SRC,不知道去哪里收集比较全的注册域名? https://cloud.tencent.com.cn/developer/article/2203554
13.《塔木德》的成功智慧如果一个人能简单地遵循一个长期计划的话,几乎每个人都很容易成为百万富翁,但还是有很多人不愿去投资时间,他们只想一夜暴富。 相反地,他们会说:“投资是有风险的”,或“要先有钱才能赚到钱”或“我没时间去学投资,我太忙了,我要工作还要付账单。” 这些常见的观点和借口,就是为什么只有少数的人能抵达充满https://m.wang1314.com/doc/webapp/topic/11773595.html