白帽子報告漏洞到底是為什麼?

各位白帽來說說你給各大廠商報告漏洞的初衷是撒?可以匿名,但是不要玩虛的!


其實我是一枚普通的程序員。直到2年多前的某一天。我們公司收到一個來自wooyun的漏洞報告。讓我知道了白帽子這個名稱。也讓我意識到了不但要寫出高效、易於維護的代碼。還應該考慮安全。

報告的是一個邏輯問題漏洞。我瞬間覺得自己之前2年多的代碼白寫了。什麼面向對象,什麼設計模式。都弱爆了,安全才是最重要的!

於是我天天上wooyun上公布的漏洞,什麼xss,sql注入.平行許可權。弱口令等等。很快就對常見的web漏洞有所了解,我在公司內部開始了代碼review。發現公司項目中N多安全問題。事實上這個過程中我都是利用自己的空餘時間完成的。因為公司那個時候壓根就不關心這些事情。

通過對公司代碼的一遍review,對於常見漏洞挖掘方法基本上已經非常熟悉。自動化工具也用的很熟悉了。

這個時候的目的很單純就是實踐。問題都是報告在wooyun上的。(當時烏雲還沒有獎金,只有wooyun幣)

於是我就開始對開源程序和一些互聯網公司進行安全測試。

通過提交漏洞慢慢接觸到了安全這個圈子。也認識了一些朋友(我認識他們)。

這個時候我提交漏洞動力就是讓這些人也認識我。可惜從頭到尾我都沒有找到很NB的漏洞。不過我出來沒有放棄過。這就是我報告漏洞最大目的。

至今還是屬於努力讓他們認識的階段!

當然中途也在烏雲收穫了不少現金獎勵以及wooyun兌換的禮物。但是我一直認為這些是意外的收穫。絕非我報告漏洞的真實初衷。

現在有很多的src,我每個平台都是嘗試報告過。我覺得不開放的提交真心有點覺得是為了錢或者禮物。違背的我的初衷。有些時候也很糾結 漏洞直接報告給廠商其實是最合適的。但是有些時候廠商的態度會讓你覺得你是在求他們一樣。

最後:我報告漏洞的目的,應該是虛榮心!


於我而言,單純為了自我滿足,挖洞的過程就像啪啪,不同的手法就像是不同的體位,不同的滲透目標就像是不同的妹子就,每當想到每天可以和那麼多不同的妹子以不同的姿勢啪啪,就莫名的興奮,就那麼簡單


《西遊記》中,唐僧在通天河邊,見到很多商人不顧生死,踏冰過河,說了一句話:「世間事惟名利最重。似他為利的,捨死忘生,我弟子奉旨全忠,也只是為名,與他能差幾何!」


看到不少人都關注了這個問題,我也來說說我的經歷吧:)

2011年年底,我開始接觸並且持續關注安全這個行業。我的目的非常簡單,因為自己熱愛這個行業,完全是興趣所推使。

回想起當初,研究這個僅僅是為了幫助一個高中同學去競選某高校的模特隊比賽,幫助她刷票,最後幫她刷進了決賽。當時她們的網站也很簡單,存在一個弱口令。我登錄進去之後幫她篡改了票數(當然,對於當時的我來說找後台也花費了不少時間,遇到很多有趣的事情,這裡就一筆帶過了),之後一口氣幫她修改票數到30w,她看到這個消息之後嚇哭了。並且疾呼讓我把票數修改成正常的。現在想想這個應該是激發我當時去研究安全開始的初衷吧。

當初提交第一個漏洞的初衷很簡單,希望能夠得到一個加入WooYun.org | 自由平等開放的漏洞報告平台的機會,僅此而已。(很純粹)只希望通過烏雲平台開闊自己的視野與見識。

後來,隨著自己的思路開闊,研究的東西也越來越多,從開始的sql注入到後面的跨站,研究php與代碼審計,漸漸能找出不同的漏洞,在各大安全平台我也或多或少的提交過漏洞,但是與 @齊跡 所說,不開放的平台,給安全人員能提供的研究非常局限。但烏雲這點上做到了,無數安全研究人員或多或少的從平台上獲得了他/她想要的知識與見解。

一方面能給廠商帶來一些幫助的同時,自己還能額外獲取一些獎勵(雖然獎品價值不高),但是這也足矣讓我開心許久。通過自己的努力,在烏雲平台上兌換了屬於自己的ipad,那一刻或許是我自己從來想都不敢想像的。最有趣味的是,給某個廠商挖掘漏洞,時隔半年,居然給我寄了一塊肥皂(既讓我驚奇,又讓我無奈)。

通過提交漏洞,我認識了非常多的朋友。漸漸在圈內知道如何去獲取業界更多的新知識,通過購買一些安全書本,也認識了 @餘弦@李普君 等其他一些很有意思的安全研究人員,一方面我希望自己的技術能通過自己的經歷有所提高,另外一方面我也非常喜歡結交一些「猥瑣流」。能遇見他們真的是我的運氣。

正是這樣的經歷,我一步一步走過來。伴隨著烏雲的發展,自己也在漸漸成長。我自己也在朝著我所計劃的目標而努力。

而如今,時間過去兩年多了,我的初衷依然沒有改變。我仍然熱愛安全技術。

ps:最後說一句,我真不是女的。


1.挖洞過程中能學到很多知識

2.我真的是為了那些企業你信嘛?提交的漏洞要是很久沒審核了主動去聯繫別人你信么?提交漏洞前會先看看烏雲是否存在聯繫不到廠商的情況,如果可能聯繫不到就不提交直接給企業發郵件你信么?

3.別人叫我女黑闊我真的很開心,嗯,我是虛榮,但是我真的在讓自己更有資格成為別人口中的女黑闊。


虛榮心,炫耀,專業實踐,還有獎品,什麼社會責任感的- -,我表示我沒有。


「白帽子的守則」第一條:

報告漏洞。


"Tell me something, Varys. Who do you truly serve?"

"The realm, my lord. Someone must."


說到白帽子就需要提到黑客,在公開課里有個很有意思的視頻叫「僱傭黑客」,看完這個我想你該明白,白帽子為什麼會報告漏洞。

對於白帽子來說,無外乎這幾種。

1、技術提升;

2、個人價值體現,我要改變世界有木有!

3、為了興趣;

4、為了利益。

視頻封面美莎·格倫尼:僱傭黑客!MishaGlenny_2011G-720p視頻



很多很多種了,包括虛榮心、技術挑戰、獎品、入職能力證明(這個汗但真的存在)等,上面很多朋友都有傾訴,但其中一種目的很特殊。

比如你用了某家的服務或者產品,因為你與其他普通用戶不同,你有一定的安全基礎並能看到一個產品的安全隱患,這個隱患不僅能影響他人也能影響到你自己。但是你並沒有能力解決這個問題,所以只有選擇通知廠商,讓企業得知這個情況並且處理掉,這就是其中一些白帽子提交漏洞的動機。

幫助別人的同時也是在幫助自己,聽著好像很虛偽是么?我給大家舉個非常實際的例子吧。

眾所周知,烏雲平台運行在新浪的SAE上,如果我是烏雲的管理員會非常非常重視自己網站的安全,但我無意發現了SAE存在漏洞可以黑掉任意用戶站點,那我第一想法絕對不是為其他用戶擔心(真心話,人都是自私的),我會非常擔心烏雲出問題,立刻將漏洞情況詳細寫好通知給新浪進行處理。

虛不虛自己有體會的人最清楚了,大概就是這麼個意思啦,說了下我自己的看法~


為了穿梭枷鎖的快樂,需要別人的認同


這是一個公益事業。看到馬路上老太太摔倒了,你扶是為什麼,你不扶是為什麼?


有時候日站日到雞肋站,比如用戶密碼加密很難破解,漏洞影響不大,沒法深入等等,就把洞報到烏雲刷刷rank。當然真正有價值的洞是不會放上去的,太可惜了,呵呵

諸位白帽可以來鄙視我了,我不是白帽也不是黑帽,我是灰帽子。好玩的洞自己留著,雞肋的洞報上去。


合理合法的掙錢……


提升自我價值,刷刷存在感


1.我覺得可以收得名,證明自己,讓別人知道有這麼一個人,換工作方便

2.提交給廠商的時候,可以獲取到一些獎金,獎品什麼的

3.學到更多的知識,匿了


Be cool


玩黑玩多了,絕對沒意思,發到wooyun順便可以刷刷rank


知道一個烏雲核心白帽子~一邊提交漏洞~做眾測~一邊接單~做流量~~他說烏雲是我洗白的地方~黑白通吃~說白了就是為了錢。。。。。。


0。0


為了裝逼 為了存在感 順便收點人民幣


為了洗白或者裝逼 你看放出來的都是什麼鬼?NDAY了!要不就是不缺錢憋的慌要找存在感的那種。至於說為了利益?別逗了 就那幾百幾千的 我都替他們丟人 要賺錢絕不會到這上面去賺


推薦閱讀:

FreeBuf聚焦社會工程學:如何降低社會工程學威脅?
各位自學網路安全的朋友們,你們的路線是什麼?
如何評價 2016 年 3 月 1 日公布的 HTTPS DROWN Attack 漏洞?
黑客小軟體等等自身會不會帶毒,對於初學者到底可不可以下載書上推薦的黑客小工具?
普通PC機遠程桌面控制家裡電腦的安全程度如何?

TAG:黑客Hacker | 白帽黑客WhiteHat |