白帽子掌握了漏洞,不通知廠商也不公布,一般會留作何用?
首先這是個偽命題
既然要做白帽子,百科裡面的描述是:正面的黑客,他可以識別計算機系統或網路系統中的安全漏洞,但並不會惡意去利用,而是公布其漏洞。這樣,系統將可以在被其他人(例如黑帽子)利用之前來修補漏洞
白帽子的主要工作就是發現漏洞,通知廠商,在修復或者廠商忽略該漏洞以後才公布出來
不通知廠商也不公布,自己留著玩的情況也有,不過那就不是白帽子了,可以說是黑帽子做的事情。
我作為一個從業者,說實話也做過類似的事情,不過那是提交烏雲以後被拒才做的(從此以後烏雲黑,發現漏洞直接提交廠商)
當時俺是一個快樂的單身漢,為了解決個人問題,註冊了某個婚戀網站。這個網站需要買豆才能跟異性交流。不過對方的情況和發的內容你是看不到的,需要消費才可以。
然後我就發現了他的一個邏輯漏洞,可以看到是誰給我發的信,妹紙的照片啥的全都知道了,不是我喜歡的類型我就不會去打開看,省下了一筆錢啊。
最後還是在那上面找到了自己現在的女朋友,剛認識的時候比較好奇到底有多少人給她發信那?xss獲取了cookie,然後你懂得……
我認識的白帽子基本都是很有職業道德的,各種0day漏洞出來以後其實可以黑掉很多的站點,做黑產比外人想像的要賺錢的多。但是我們沒有這麼做,因為我們是白帽子
帶我入行的老師一開始就跟我說,錢要賺來花的,這行天生就要跟法律走的很近,不要有命賺沒命花。
……貌似扯遠了遙想當年很多的數學家、科學家都是死後多少年才公布他們的研究成果的。有一類人,「搞」遠比他們「搞出來的東西」更痴迷!! 在外面人看來他搞的東西很nb,但是對於這類人就是一個「哦,那是我幾年前搞的一下玩意,你看得上 就拿去玩吧」 ,這個就是漏洞里的「土豪」 :)
本想說從善意與惡意2個角度來看,既然是白帽子 就假設他不是壞人吧。
一個漏洞的價值在於擁有它的人對安全的認識 以及利用的功底。
技術角度
- 他可能不滿足於這個漏洞的某種利用方式,要搞得更完美,比如從 僅 for win2k3 cn 到for all version
- 他可能不滿足於這個漏洞的效果,比如LFI搞出 RCE 從僅能DOS到 RCE
- 他可能不滿足於這個漏洞的收益,比如從nobody到root,比如從管理平台許可權到全網路的控制
- 等等......
價值角度
- 他可能等待廠商做活動時再發出去換取高額回報,比如MS的BlueHat 計劃,比如TSRC 某些雙倍積分活動
- 他可能等待一個更好的收購者,比如 政府或其他第三方交易者
- 他也可能沒認識到這個漏洞的重要性
其他角度
- 《負責任的漏洞披露 》 http://blog.vulnhunt.com/tmp/Responsible_Vulnerability_Disclosure_Process_cn.pdf
如上文所述,負責任的漏洞披露是一個較為「漫長」的過程。
- 還有些漏洞是其他 過程(軟體測試滲透測試)被發現的,可能他還需要把整個過程進行完畢,才可能披露
不知道還有多少人記得,除了hacked by xxx,還有一句話:
「just for fun」
回歸到最早為何有第一次hack,必然不是你天生就會,而是你發現了可以這麼做更有意思,有的人很喜歡發出來證明自己,當一名驕傲的白帽子,而有的人喜歡獨自享用,作為一個電子上帝。
當然在大遼生活不能天天只關心精神滿足,因此會有以此為生計的鏢師或者江洋大盜,以及從來不存在的六扇門。
而我一直佩服那些隱身用戶,不管怎麼樣、多少年依然堅持著搞下去,只是因為:
"just for fun"
所以儘管各種帽子都是以利益掛鉤來區分他們的黑白,但本質的區別還在於,有一些人,不為名利非法遊走他也是黑,他們不會去爆漏洞,不會去做好人,但不代表他們就去掙黑錢,只是享受這裡面的過程。
為他們點一個贊。
"媽的!微軟又把老子的洞給補了!"
淺淺淡淡的轉身做黑帽子去
說一個前段時間的struts2漏洞!
那個漏洞我知道的其實出來至少有兩個月了(可能會更久)。但是在T00LS - 專註網路安全和WooYun.org | 自由平等開放的漏洞報告平台火爆起來 是在兩個月後了。
這些漏洞被大牛挖掘出來之後首先乾的事情是對自己的一些單子網站進行利用,然後就開始了網站的友情檢測。之後當這些漏洞被玩亂了的時候就開始從地下黑市流傳出來然後披露。
最後有些漏洞被提交到相對應的部門(烏雲和t00ls)。
但是到這裡你認為就完了么?錯,還沒有!
這是大牛們又開始活動了,得提前給那些手中的大站填補漏洞。因為如果官方修復就會導致手中的一些許可權遺失,所以structs2火熱那兩天,大牛們也很忙。
等這些忙完了,一個0day風波才慢慢的褪去。
但是下一個0day又慢慢來了
每個白帽子手裡都會有一大堆的未公開0day和一大批已經控制了的伺服器。
寫好筆記,丟在硬碟裡面。用到的時候再挖出來看下,或者就是和其他白帽子交換
我的做法一般是,寫個詳細的漏洞分析和完美的 exploit,然後存在電腦硬碟里,看看多久後能被其他人發現並爆出來,我的很多 0day 很多都是這樣若干年後被爆的。我也會把其中的一些漏洞拿出來和一些比較專業的白帽子們分享和探討,或者放出一些漏洞分析的文章。
當然,找漏洞只是我的業餘愛好,自己的職業和這個完全不相干,自己可能根本算不上是白帽子吧:)
我來唱唱反調,非安全業內人士,純屬分析。
1. 誰說白帽子就不做壞事,我相信其中一些人或多或少也利用其謀取過私利。
2. 不做壞事不代表不想,有時是不能,或是投入較大不值。現在專業分工是精細的,做好白帽子未必能做好黑帽子。
好多漏洞捨不得放出來,我不是個合格的白帽子
看漏洞類別,web的一般提權弄伺服器搞資料庫,內網滲透,還有一些比如支付漏洞,如果是搞到菠菜站 黑吃黑啦,掛黑頁裝13,還有有權重的 占群出售,其他通用型漏洞價格很高,都差不多了,主要是看是什麼漏洞,看你的心是否想為了毛爺爺,還是為了行業發展
能稱為白帽子的應該道德上達到我們一般人無法企及的高度。
推薦閱讀: