该篇文章是由长短短的知乎Live
（）整理而成，只为个人学习。若有兴趣，请赞助并参与活动，支持原作者。
为保护作者权益，只整理了框架。
若有侵权，请联系我删除。
在安全的学习方向如何选择
互联网安全（Web安全）（最热门，最成熟）
客户端安全（主要是指二进制安全）
大数据安全
常见安全岗位的要求
渗透工程师
安全开发工程师
安全运维工程师
安全研究员
如何搭建自己的网络安全箱子
漏洞挖掘工具
Mobile Security Framework (移动安全框架)
智能家电漏洞扫描
渗透测试工具
漏洞奖励计划
厂商雇佣黑客攻击网站，然后漏洞越大，奖励越大。
公开的漏洞报告
如何使厂商更快反馈你的漏洞提交
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：31925次
排名：千里之外
原创：45篇
评论：16条
(3)(24)(16)(11)&&& &&&&& &&
“白帽”黑客挖漏洞就像徒手检测是否漏电
字号：&&&&
　　“以后应该怎么继续去发掘漏洞、提交漏洞？”虽然只是一个初级“白帽”黑客（在IT界，“白帽”黑客指的是正面黑客，又称“白帽子”，他们发现系统安全漏洞，不会恶意去利用，而是公布漏洞，让系统所有方提前修补漏洞），但说起乌云网“停摆”的事，从事网络安全工作的王越亚还是觉得很惋惜。
　　7月20日，国内最大的漏洞报告平台乌云网突然无法访问。乌云网公告称，乌云及相关服务将升级，并将在最短时间内回归。乌云成立于2010年5月，是国内最早的漏洞报告平台，聚集了一群爱好安全技术的“白帽”黑客。
　　由于在发现企业网络安全漏洞的过程中，“白帽黑客”经常需要渗透、测试企业的网站或其他互联网产品，他们往往会被认为侵犯企业的数据信息安全。因此，对于外界而言，“白帽黑客”和他们发现、公布漏洞的行为仍然是非常神秘且饱受争议的。
　　乌云“停摆”等诸多事件更是将这些争议进一步放大：“白帽黑客”发现、报告漏洞的行为究竟合不合法？如何在“白帽黑客”发现、报告漏洞和保护企业网络安全之间取得平衡？
　　黑白边缘的“白帽黑客”
　　没有漏洞，也就没有“白帽黑客”的产生和活跃。
　　根据国家信息安全漏洞共享平台(CNVD)统计，2015年，国内重要漏洞响应平台共报送25314条漏洞。另据360互联网安全中心发布的2015年互联网安全报告显示，2015年全年（截至11月18日），经360网站安全检测平台扫描的231.2万个网站中，43.9%存在漏洞，12.3%存在高危漏洞，360网站卫士共拦截各类网站漏洞攻击16.5亿次。
　　这些网络安全漏洞轻则泄露个人或企业机密信息，对企业生产经营造成重大损失，严重的可能还会涉及国家安全。令人担忧的是，目前大多数政府、企业和个人的网站没有足够力量组建专业安全团队，并且缺乏专业的修复建议和修复验证机制，而业务的频繁更新也会导致新的漏洞不断出现。在此背景下，一些极客开始对某些网站进行渗透测试，期望通过发现漏洞来提升自己的IT技术，逐渐成为“白帽黑客”。通过发现、提交漏洞，“白帽黑客”曾发现了许多敏感信息的泄露问题，引起了重视，但提交漏洞的行为也饱受争议。
　　13万条铁路售票网站12306用户数据泄露、如家酒店等开房信息泄露、腾讯7000万QQ群用户数据泄露……这些曾经轰动一时的用户数据泄露事件，最早都是“白帽黑客”在乌云平台上提交、报告的，并最终引起了平台方的重视和改进。
　　与此同时，“白帽黑客”的存在对很多企业来说也是一种威胁，因为从法律角度来说，他们的行为属于灰色地带，“白帽黑客”处于黑白边缘。国内某漏洞平台的市场负责人于小伟（化名）向记者表示，目前国内法律对“白帽黑客”及其发现、提交漏洞的行为如何定性尚没有定论，因为“白帽黑客”在发现漏洞的过程中很可能会触碰到企业的数据信息，有些甚至是一些敏感、机密的数据。
　　《乌云漏洞审核机制改进公告》显示，对于普通漏洞，乌云设置了5天的厂商确认周期，若5天内厂商未确认则视为忽略,将直接公开漏洞；10天后向核心及相关领域专家公开；20天后向普通白帽子公开；30天后向实习白帽子公开；45天后向公众公开；期间厂商可自行提前公开，向普通白帽子公开的时候可以使用乌云币购买提前查看漏洞细节。
　　于小伟说，在“白帽黑客”提交漏洞之后，对外公开漏洞之前，漏洞平台向“白帽黑客”公开漏洞的做法本意是为了提供学习漏洞的机会，但若涉事企业和平台未能修复漏洞，很可能就会造成企业数据信息被侵犯和泄露。王越亚也表示，一直以来，乌云公开漏洞的运作模式饱受诟病。因为，大企业会有专门的员工去处理在平台提交的漏洞，但是小企业或者安全意识还没有跟上的公司很少会花费精力去做这件事。
　　“有些小企业乌云是联系不到的，而乌云的漏洞披露机制会让小企业的网站漏洞被公开，而公开的时候往往都没被修复，这样会有很多人去顺着这个漏洞去企业的网站继续去玩、去渗透、乃至破坏。”王越亚说。
　　不伸手不知道有没有电，伸手了很可能就触电
　　在“白帽黑客”圈子里，乌云的“停摆”并不是第一件引起震动的事件，发生在今年春天的“袁炜事件”同样引发了许多讨论。据媒体报道，去年12月，“白帽”黑客袁炜在乌云平台上提交了其发现的婚恋交友网站世纪佳缘的系统漏洞，随后世纪佳缘确认、修复了该漏洞，并按乌云平台惯例向漏洞提交者致谢。
　　但在一个多月后，世纪佳缘以“网站数据被非法窃取”为由报警。今年4月，袁炜被司法机关逮捕。世纪佳缘CEO吴琳光在知乎上解释称：“在漏洞修复过程中，我们发现有900多条有效数据被攻击者获取，出于对用户数据和信息安全的担忧，我们选择了报警。”吴琳光同时表示，“在警方披露调查结果之前，我们并不知道提交漏洞的“白帽子”和攻击者是同一个人。”
　　从“袁炜事件”到乌云“停摆”，给“白帽”黑客带来的影响是直接的。王越亚表示，许多“白帽”黑客越来越担心，“袁炜事件”会不会在自己身上重演，甚至也有很多人在考虑要不要放弃原来“发现网站漏洞——获得网站进入权限——提交漏洞”的思路。
　　但在中国互联网协会信用评价中心法律顾问赵占领看来，“袁炜事件”中袁炜涉嫌的罪名是非法侵入计算机信息系统罪，这个罪名有具体的条件，其中一个非常关键的条件就是非法获取计算机信息数据500组以上。“判断乌云这些技术爱好者是否触及法律，就看他们的具体行为。”赵占领说。
　　虽然有法律上的解释，但对于大多数“白帽”黑客而言，由于数据信息的特殊性，网站漏洞的发现过程很难按照法律条文来界定究竟是否合法。“虽然法律上明文规定的是，你进入网站没有进行任何操作去破坏或者获得数据就不算违法，但是涉及数据信息，谁又能证明自己是清白的？”王越亚表示，由于很难有第三方能看到“白帽”黑客在提交漏洞前有没有获取、盗用数据，所以很难判断发现漏洞的过程是否合法。
　　而一旦被企业认为盗取了数据信息，“白帽”黑客也面临着举证的困难。“白帽子都说自己是好人，但是谁能证明呢？只是因为他提交漏洞远远不够。我可以说我没看，但是如何证明我没看？”王越亚说。
　　他认为，判断漏洞发现的过程是否合法，关键还是对“白帽”黑客在发现漏洞时对数据信息的处理方式如何界定，这关系到白帽子究竟是侵犯数据的坏人，还是纯粹发现漏洞的好人，
　　于小伟认为，“白帽”黑客发现漏洞的过程很像是徒手检测电线是否有电：不伸手不知道有没有电，伸手了很可能就会触电。“白帽”黑客要发现漏洞，并且让企业确认漏洞存在，就需要让企业了解漏洞详情，而了解之后企业就很可能认为“白帽”黑客获取、盗用了数据信息。
　　他曾与一些关注网络安全领域的律师交流，发现目前无论是“白帽”黑客，还是网络安全法律界，大家对判断发现漏洞的过程合不合法都还没有比较成型的讨论意见。“这个问题还很难界定”。
　　众测平台模式有用吗
　　在此次乌云“停摆”事件发生以后，不少“白帽子”在微博或者论坛上留言：“把乌云关了，难道不怕白帽子去黑更多网站？”这让赵占领更加担心“白帽”黑客群体的信心。
　　赵占领认为，虽然“白帽子”和“黑帽子”有很大区别，但从技术上看两者之间可以互相转化。漏洞平台把相当一部分“黑帽子”转化成了“白帽子”，并且约束“白帽子”的行为，开展“白帽子”的普及教育，让他们认识到不能做一些违法的漏洞测试。他担心的是，如果把漏洞平台关闭，这些“白帽子”的价值没办法得到认可，也没办法得到一些物质回报，那么其中很可能就会有人变成“黑帽子”，通过非法攻击漏洞去牟利。“这对白帽子的信心是一个打击”。
　　作为“白帽”黑客的一员，王越亚认为乌云“停摆”并不会导致很多“白帽子”黑化，因为大多数“白帽”黑客其实只是把发现、提交漏洞当作一种业余兴趣和技术的磨练提升，并没有把“白帽子”当成工作。“而且他们也清楚有些事儿不能乱搞，不然很容易出现问题”。
　　王越亚更加担心的是，乌云“停摆”会导致很多网络安全漏洞无法及时发现，使更多企业，尤其是小企业的网络安全遭受更多伤害。那么，该如何在保护企业信息安全和“白帽”黑客信心之间取得平衡？企业、漏洞平台、“白帽”黑客，以及网络安全管理部门各自应当保持何种姿态？
　　杭州安恒信息技术有限公司总裁范渊曾经是第一个登上BLACKHAT(黑帽子)大会（全世界电脑黑客的顶级盛会，只邀请顶尖高手参加）演讲的中国人。在他看来，在“白帽”黑客发现漏洞的过程中，法律法规是一根红线，必须遵循法律的框架和流程来开展。
　　“首先你要得到（企业）授权，而不是先非法入侵，入侵之后再来告诉企业，或者跟企业要报酬，不给我就曝光。”范渊说。于小伟则认为，目前漏洞盒子、360补天漏洞平台等已经尝试的众测平台模式或许是一种解决办法。所谓众测是一种由厂商提供互联网产品，由众测平台组织“白帽”黑客专门为其寻找安全漏洞的众包生产模式。
　　实际上，这种众测平台模式已经在美国获得较好效果。据媒体报道，旧金山一家采取众测平台模式的创业公司HackerOne试图吸引黑客积极解决软件系统的漏洞，而不是利用漏洞，帮助“白帽”黑客与愿意付费的企业牵线搭桥。
　　报道称，HackerOne的运作模式是让企业在其平台上直接发布众测请求，让广大“白帽”黑客发掘漏洞，“白帽”黑客发现并提交漏洞后，企业会根据安全威胁等级给予一定的现金奖励。目前，HackerOne已经获得2500万美元融资，此前已获得900万美元的轮融资。于小伟表示，如果不让“白帽”黑客发现、提交漏洞，不仅许多安全隐患难以发现，而且“白帽”黑客所轻易掌握的数据就会转入地下黑色产业链，企业和个人数据将会被卖走。“如果有伤疤，为什么不可以让大家来帮你发现原因，来诊治？与其堵住，还不如鼓励众测平台的发展，让他们发挥作用。”
　　身为“白帽”黑客，王越亚认为广大“白帽”黑客对这类众测平台还是比较信任的，而在平台上发布众测请求的企业也会在一定程度上容忍“白帽”黑客的网络入侵行为，但一般情况下，企业都不会把可能涉及内部数据的方面交给“白帽”黑客来测试。
　　“总结来看，这一系列的问题其实也不是法律、政府所能界定的，更多的还是靠‘白帽子’的自律，和企业对白帽子的信任吧。”他说。(记者 王林 实习生 张均斌)
[责任编辑：王怡然]
|||||版权申明||违法和不良信息举报电话：86-10-Uber欢迎黑客“找茬儿” 系统漏洞悬赏万元|界面新闻o商业图片来源：AFP黑客（hackers）并非都是黑的，那些用自己的黑客技术来做好事的黑客们叫&白帽黑客&（&white hat& hackers）。通常，他们攻击自己的系统，或被聘请来攻击客户的系统以便进行安全审查，而Uber公司正在悬赏这些&白帽黑客&来为自己的系统找漏洞。
据美国科技博客The Verge3月22日报道，Uber公司表示，将在今年5月推出一个&捉虫奖励&计划（bug bounty），让世界各地&白帽黑客&查找Uber系统中的漏洞，然后报告给该公司，最高可获得奖励1万美元。
报道称，该活动从5月1日开始，&白帽黑客&将有90天的时间寻找Uber系统当中的漏洞和错误。小型漏洞赏金在数千美元，但重大的安全漏洞可以赚取高达1万美元的奖金。发现四个以上漏洞的黑客将额外获得10%的奖金。Uber为此还专门提供了一个工具，以帮助他们浏览相关代码。
Uber表示，活动的举办并不是针对任何特定的窃听事件，而是去年推出的测试版&捉虫奖励&的延续，因为参加的200多名&白帽黑客&帮助公司找出了100个漏洞。Uber称将其作为一个&忠诚计划&，鼓励&白帽黑客&们不断寻找漏洞。
&Uber自己的团队是抵抗漏洞的第一道防线，但是即使有训练有素的安全专家团队，我们仍需要不断地寻找方法来提高安全性，&Uber首席安全官乔&沙利文（Joe Sullivan）在一篇博客文章中说，&这个计划将有助于确保我们的代码尽可能的安全。&
Uber在过去几年当中曾经遭遇严重的安全漏洞。比如2014年在泄露5万名司机的个人信息后，该公司五个月之后才通知司机，进而导致纽约州总检察长对其罚款2万美元。2015年，Uber一个系统漏洞允许黑客持续访问泄露帐户，即使密码被更改。而今年，佛罗里达州的一名女性Uber司机的社保和纳税ID号被意外地发送给成千上万的其他Uber司机。
报道称，这次活动分为三个层次，如能够更改司机照片或者批量查找用户通用唯一标识符，就可以获得3000美元奖金。如果找到显著的漏洞，例如丢失授权检查，导致电子邮件地址，出生日期，姓名，电话号码等数据曝光，将获得5000美元奖金。至于那些危急漏洞，如完全获得用户帐户控制权，或任何公开社会安全号码，信用卡号码，银行账户号码和驾驶执照照片等个人资料的安全漏洞，将让&白帽黑客&获得1万美元奖金。
事实上，&捉虫奖励&计划（bug bounty）并不是一件新鲜事，不少硅谷的科技公司，如谷歌、Facebook等，对于黑客帮忙找到漏洞都会给与一定的奖励，甚至像通用汽车和特斯拉汽车公司也举办过类似活动。
此前，一名印度安全研究员发现了Facebook一个非常严重的安全漏洞，并报告给该公司。Facebook确认之后，向他发放了1.5万美元的奖励。2015年，谷歌已经向发现和报告漏洞的&白帽黑客&和安全研究者员们支付了超过200万美元的奖励。不久前谷歌再次宣布上调Chrome漏洞发现者的奖金，最高奖金将从之前的5万美元翻倍至10万美元。
更多专业报道，请
0相关文章您至少需输入5个字评论()内容字号：
段落设置：
字体设置：
精准搜索请尝试：
游走黑白缺乏监管，白帽黑客群体处境堪忧
来源：作者：孟庆建责编：仲平
在互联网上，有这么一群爱好安全技术的“宅男”，他们也被称作白帽子。与“黑帽黑客”相反，白帽子是用黑客技术维护网络安全的力量，他们往往会被各大互联网公司雇佣，通过攻击自己的公司以测试网络和系统的性能。在他们眼中，似乎没有攻不破的系统。▲图片来源网络一些曾经轰动社会的泄露事件，如13万条铁路售票网站网站12306用户数据泄露、如家酒店等开房信息泄露、腾讯7000万QQ群用户数据泄露，均最早在乌云网上由白帽子报告并引起平台方的重视。不过，白帽子平常活跃的国内两大漏洞报告平台居然在同一天无法访问，让不少人将其与去年12月发生的一起事件联系到一起……两大漏洞报告平台同一天无法访问19日晚间，微博大V爆料，国内知名漏洞报告平台乌云出现无法访问，因管理团队接受整顿。19日晚间，记者曾第一时间致电联系了乌云社区负责人方小顿，但对方电话处于无人接听状态，无法确认是否接受整顿的说法是否属实。不过，20日上午，乌云发布公告称网站正在升级，并称微博大V的爆料为谣传。乌云运营团队在官网声明中称：乌云及相关服务将进行升级，将在最短的时间内回归……不管是从前，现在，还是未来，我们都将坚持这么做下去。据北京一位白帽黑客透露，日常活跃在乌云上的白帽子至少有数千人。无独有偶的，同为白帽社区的上海斗象信息旗下白帽子社区“漏洞盒子”同样在19日宣布系统维护。有媒体报道时称，漏洞盒子同样在按照相关部门的要求接受整顿。但斗象信息科技在20日上午发布紧急公告，否认了这一说法。其公告称：旗下漏洞盒子平台业务运营按照年度计划既定进行，目前全线产品业务运转正常，与其他事件无任何关联。20日下午，斗象信息科技市场副总裁李勇对记者澄清表示：我们是躺着中枪了，我们旗下网站及业务目前没有受到任何事件影响，正按照此前年度工作既定计划进行正常运营与推进，关于公司进行网站维护升级的事情，是斗象信息科技将联合国家相关政府管理部门进行相关安全生态体系建设的筹备之事而展开的，属于早就既定的工作事项。在网站维护升级的过程中，暂停该项目相关漏洞与威胁情报接受。整个升级时间大概需要两三天，之后恢复运营。针对乌云停运升级事件，多位白帽子黑客对记者表示，猜测此次停运升级可能与去年12月份在乌云社区发生的“袁炜事件”有关联。不过这一说法未得到乌云的回应。据了解，袁炜是乌云社区上一名白帽子，去年12月份，他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后，事情突然发生转折。世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警，4月份，袁炜被司法机关逮捕。▲图片来源：央广网世纪佳缘CEO吴琳光当时回应称：在漏洞修复过程中，我们发现有900多条有效数据被攻击者获取，出于对用户数据和信息安全的担忧，我们选择了报警。在警方披露调查结果之前，我们并不知道提交漏洞的白帽子和攻击者是同一个人。游走在“黑白”之间缺少监管“袁炜事件”让白帽子群体受到广泛关注。今年5月份，腾讯联合白帽社群极棒在澳门组织的黑客大赛上，数十款家用网络盒子被瞬间攻破，甚至微软平板surface防火墙也在数分钟内被攻破。但是在白帽子群体中不乏动机不纯的“异类”。在维护安全的另一面，他们的存在在很多企业看来是威胁，从法律上来说，他们的行为并不受法律保护，处于灰色地带。前述北京的白帽黑客告诉记者：真正意义上的白帽子是不依靠提交漏洞赚钱的，我们有自己的工作，提交漏洞纯属是业务爱好。职业的白帽子也有获取收入的规范途径，主要是IT企业委托授权的众测，另外目前各种黑客比赛会提供丰厚的奖金，比如腾讯和极棒今年5月份在澳门举办的黑客大赛，冠军团队共获得了42万奖金。但是这个群体里同时存在很多浑水摸鱼的人，以白帽子的名义做黑帽黑客的事，就像电影《无间道》里演的一样，一念之差就可能走向歧途了。常规给企业网站做安全监测项目，一般只有几万块钱，和做黑产比起来真的太辛苦了。去年，有个白帽子挖到某家大型互联网公司的漏洞，然后邮件给厂商，大致意思是我挖到你们漏洞了，付给我点辛苦费吧，不然卖给黑产我也能赚不少钱，然后这个人被举报就被抓了。“很多平台对这些白帽子是缺乏监管的。因为大部分论坛注册用户都不是实名，不知道账号背后是谁；平台也不知道白帽子黑客们提交的内容是不是全部内容，黑客检测网站也是随机的。而且，平台是否需要对这些白帽子做监管？目前也没有法律要求。”上述白帽子表示。
大家都在买
软媒旗下软件：
IT之家，软媒旗下科技门户网站 - 爱科技，爱这里。
Copyright (C) , All Rights Reserved.
版权所有 鲁ICP备号