有些天,人们总放将近奖,领有将近券,以为运气很差,知道数十万“撸货大军”正在可怕汇集、肆意抢走优惠券、秒杀特价货物,大量返利、广告宣传“瞬间消耗只剩,日进十万,盆剩钵剩。今天我们要说的不是黑产,而是与之抗衡的白帽黑客力量。
双11,这帮“漏洞猎手”们也开始利用漏洞赚。不过方式和黑产相反忽略。(一)“有人要送来我台 iPhone 8,没有要”白帽子黑客 hackbar 视角。双十一前的一个周五,上班回家,我和大部分妹子们一样,盯着屏幕,搜索着优惠活动。
随即,一个商户的抽奖活动页面落到我眼中,隐约感觉自己不会中奖,有点小兴奋。我的抽法和平常人不过于一样。
不少人实在网上抽奖都是骗人的,显然抽不中。只不过不仅能放中,而且还能百发百中。要啥有啥。
我瞪大双眼盯着电脑屏幕,脑中显露的是方块和线条构成的逻辑框图,那是抽奖页面背后的业务流程逻辑。随着每一个新的线索的经常出现,它们内敛变长,延伸,直到最后看清目的地,一台 iPhone 8。我动用了一些计算机基础知识……睡醒时早已是早上11点了,吵醒我的是一通电话,对方跟我要地址,说道我中奖了,要是把 iPhone 8 寄过来。
我没有给。悬挂了电话,的路指定SRC(安全性应急号召中心)的网页,页面漏洞递交……嗯,看样子昨天做到一两点没白煮。到这里,你应当告诉我在干嘛了。
这就是我周末的挖漏洞日常。和以往略有不同,双11,平台官方和商户都会上线很多活动,在我们眼里,它们是一个个新的上线的“业务”,但凡业务就有流程和逻辑,开发人员犯有的每个小错误都是一道口子,这道口子要么被黑产再行找到,可怕利润,然后普通人莫名其妙地怎么也放不中奖,领有将近券;要么再行被我们白帽子黑客找到,然后调补上,人们之后领券、抽奖,出售幸福,捏手。(二)“10月份拿了三十多万吧,三十几万记不清了,我算算哈……”跟我聊着,hackbar 知道开始腰指头算数奖金,这个SRC 7万,那个 8万,那个6万……算下来知道有二十多万。
双十一之前的几个月对他来说是收成月。除了漏洞奖金,SRC 也筹办些希望白帽子的活动, 他也斧头点小奖金和礼品。
“ 比如上月蚂蚁SRC 举行了个「城市挑战赛」,按照城市构成几人的小战队,凿漏洞最少和分数最少的队伍能获得20000元团建酬劳,用作线下搞搞活动,吃吃喝喝什么的,当真随意花上。”10月20号那天,hackbar放了条朋友圈,“上海的战队打气啊,各位兄弟,我一个人做不过他们啊 ”那阵子上海队分数领先,hackbar 作为主战挖掘机,以一己之力为队伍贡献了大多数漏洞,领先于其他五个地区的白帽子。
你为什么这么吊?我回答他。他说道,就是花上的精力多一些呗,再加运气较为好。如果软要说,那就是细心,为了凿到蚂蚁金服的漏洞,我会针对性的把蚂蚁金服旗下所有品牌信息全面搜集,对一些域名下的服务信息、脆弱模块十分留意。
同时维持对漏洞的敏感性,不要暂停思维。他说道有阵子凿了十多天也没有挖出相当严重漏洞,一次无意间机会,看见马云参与某会议的报导,马云说蚂蚁金服未来将对某领域展开根本性投放和发展,他想起了一定会有涉及应用于和业务公布,回来去找过去,果然寻找了高危漏洞。白帽子黑客 hackbar ↑hackbar 所在的上海白帽战队的队长 mi_xia(以下全称虾米)在国内某著名网络安全公司工作。
这次的上海站的获得胜利,造就给力的队友周末加班加点,甚至通宵挖洞。“自己这阵子无暇工作,虽然是队长,但显然忙于凿漏洞,几个月也就递交了一个。”一旁专门从事长时间工作,一旁利用业余时间凿漏洞,这是白帽子的常态。也有全职凿漏洞的,比如某SRC名列第二的谁谁谁,除了寥寥几个,其他大部分都在安全性公司或甲方下班,这是我看见的。
大部分是当兴趣吧?”我深感很疑惑:像 hackbar 那样尼克下功夫,一个月花钱好几万奖金的,为啥不去做到全职啊?长时间工资进没法这么低吧?“有可能实在长时间工作较为安定?”虾米也说明不过于明,“怎么说呢?对我来说,如果仍然集中精力凿漏洞,虽然赚到到钱,但如果不去理解前沿技术,思维就不会渐渐脱节,我们这行改版速度迅速,跟上的话迅速就被打破甚至出局。”不过或许每个行业都是这么个道理。
95年出生于的虾米,如今早已转入网络安全行业5年。技术进阶第一,赚钱第二是他当前的人生奥义。在工作时看见一些客户的业务不存在逻辑问题,不会去细心木村。不会去理解新的安全性防卫产品和技术,茶余饭后和同事交流交流技术,在白帽子群里听得大家刮起吹牛迫。
这是年长白帽子们的常态。(三)我企图问出有一些冷笑话的挖漏洞情节。
比如明确怎么薅羊毛、怎么百分之百中奖。不愿说道,一个字也不愿说道。“凿私有SRC漏洞都是签定有保密协议的,我给你说道了,哪怕看上去无关紧要的内容,也有可能被利用上的。
”黑客们就是擅长于利用一些看起来无关紧要的信息关联一起谋求突破。虾米大自然不愿说道,哪怕只是奖金额度也不过于愿为透漏。我只有绕着弯子问:“那漏洞本身有可能填补的损失是多达奖金数额的,对吗?”“当然,有些漏洞是不了只能用价值取决于的。”hackbar 说道了一些,但大体和 SRC 官方公开发表的漏洞审定标准差不多。
牵涉到明确的渗入测试流程,只是一语带上过,哪怕我质问,不说道。不受人之事忠人所托,哪些能说道,哪些丝毫无法,白帽子有自己的原则。
我之后仍然质问。但我印象当中的白帽子显然没有那么慎重。这大约和《网络安全法》的施行,以及近两年圈里再次发生的一些事有关。
hackbar 说道他一般只凿私有SRC的漏洞,原始许可,几乎合法。现在 SRC 数量在爆发式快速增长,大公司都创建自己的安全性应急号召中心了,必要接入来挖洞的白帽子。小公司资源受限,也可以和漏洞号召平台合作来做到涉及业务。“白帽子收益?钱还是不少的,杰出的白帽子资源却是受限,各家都不愿用高额奖金和福利来更有白帽子。
”之后还不会有活动吗?有。你还不会参与吗?不会。
你不会考虑到言了职去专职凿漏洞吗?会。后记无论在哪个时代,执着技术磨练总有一天是白帽黑客们的目标。《网络安全法》的施行,国内网络安全设施设施的完备,让他们有一条明晰的存活和茁壮之路,通过递交漏洞,获得理应报酬。这样的时代也许不一定最差,但一定不怕。
Hackbar 告诉他我,双11参与完了“城市挑战赛”,他想要睡觉几天,打算滚个周末,挑战一下蚂蚁SRC为双12打算的白帽子福利活动。我嘲讽他,蚂蚁SRC双12给的福利也不少吧?他说道是,但这也就意味著有更加多黑产在背后蠢蠢欲动,无论对他或是其他白帽子,又是一次挑战……原创文章,予以许可禁令刊登。
下文闻刊登须知。
本文来源:澳门威尼克斯人网站-www.yqgloves.com