白帽子是合法的嗎?

01-04

學校的校園網是用的一家商業公司的系統，最近無聊想看看這個系統有沒有漏洞，於是小試一下，果然在多個域名下發現弱口令的管理員後台，登錄後不但能添加用戶，修改套餐，免費上網，還能查看資料庫的信息，登錄進去發現保存了用戶的帳號和密碼等信息（當然不是明文的），我本身不是搞網路安全的，只是這個漏洞太過幼稚，所以......我想要向學校反饋這個漏洞，又怕被學校給處分（破壞學校設施什麼的，畢竟和錢相關），請問我該怎麼辦?
順便:類似烏雲網那種白帽子，對漏洞探索到何總程度是合法可接受的?

從事安全研究的小A是一名「正義的黑客」——白帽子。

他發現計算機系統或網路系統中的安全漏洞，提供給企業和機構，幫助他們修復漏洞, 而不會惡意去利用。這樣一來，在其他人（例如小A的對立方，黑帽子）在利用之前，小A就可以讓企業和機構避免損失。

6月1日《網路安全法》正式實施以後，對白帽子參與滲透測試行為提出了法律要求。小A有點慌：因為他熱愛的漏洞挖掘，有可能會踩到法律的「雷區」。

這篇對白帽子的《網安法》寶典，會告訴小A：他應該知道的幾個法律雷區，以及相應的處罰和責任；小A現在怎麼做，才能符合《網安法》的要求，減少、規避自身的風險？

我們以小A可能會碰到的場景開始。

《網路安全法》中，小A容易碰哪些「雷區」？

1、小A如果未經授權就去開始滲透測試，或者開展滲透測試的時間不是在客戶授權的時間，或者測試範圍超過了客戶的授權，都可能被認定為是非法入侵他人網路的違法行為，需要承擔法律責任。

2、小A在客戶授權下進行滲透測試，但是在測試過程中竊取或篡改了客戶的數據，也構成違法行為，將會面臨法律責任。

3、小A在客戶授權下進行滲透測試，發現了客戶系統的漏洞，正常情況下應該聯繫客戶修復，但是小A對外公布了這些漏洞，這屬於違法行為，將面臨法律責任。

4、小A寫了一個批量獲取肉雞的工具，上傳到網上，這屬於提供危害網路安全活動的程序、工具，也屬於違法行為，將面臨法律責任。

5、朋友在做一些竊取別人網站數據的違法事情，找到小A，小A通過漏洞拿到的網站的許可權，然後提供給朋友，這個過程，小A提供了技術支持，同樣面臨法律責任。

6、小A寫了一個程序或者修改別人的程序，在程序中插入了惡意代碼，然後發布到網上被惡意傳播，導致大量用戶中招，會面臨嚴重的法律責任。

7、小A無意中發現了某城市交通的系統漏洞(國家關鍵信息基礎設施:公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域)，然後進行入侵，干擾正常的業務功能。

由於這些關鍵信息基礎設施一旦遭到破壞，可能會嚴重危害到國家安全、國計民生、共公共利益，因此小A將會面臨更嚴重的法律責任。發現問題，應該第一時間聯繫有關部門(例如國家互聯網應急中心)通知修復。

8、小A在境外對中國境內的能源基礎設施做滲透，造成系統癱瘓，也會面臨法律責任。

不小心踩了法律「雷區」，小A會收到什麼處罰？

1、尚不構成犯罪的，由公安機關沒收違法所得，處五日以下拘留，可以並處五萬元以上五十萬元以下罰款；情節較重的，處五日以上十五日以下拘留，可以並處十萬元以上一百萬元以下罰款。

2、構成犯罪的，將會被判處有期徒刑或拘役，並處罰金。

3、受到治安管理處罰的人員，五年內不得從事網路安全管理和網路運營關鍵崗位的工作；受到刑事處罰的人員，終身不得從事網路安全管理和網路運營關鍵崗位的工作。

白帽子小A，他現在應該做什麼？

作為一個白帽子，小A首先要了解《網路安全法》，培養自己良好的社會價值觀，在測試過程中，發現問題，積極協助客戶去修復安全漏洞。

給小A的9條「守法」建議：

1，進行滲透測試前要取得客戶授權；

2，在客戶授權的時間和測試範圍內進行測試；

3，發現漏洞儘快通知用戶，不公布和傳播漏洞；

4，不竊取、出售、篡改用戶數據；

5，不惡意攻擊他人伺服器；

6，不在他人伺服器留後門；

7，不去入侵或干擾國家關鍵信息基礎設施的系統；

8，不協助他人攻擊別人伺服器；

9，不傳播惡意攻擊程序。

其次，小A在測試過程中，可以用用以下的建議：

1、任何測試一定要得到授權，要選擇能保護自己的平台。測試過程時刻記得點到為止，不得竊取，篡改數據，留後門，或者做一些可能影響業務的操作；可能需要進一步滲透的，需要提前聯繫廠商進行報備，在徵得同意的情況下，繼續測試。

2、在做測試的過程中，儘可能保留測試過程，當有問題發生時，避免一些不必要的麻煩。

3、提交漏洞選擇有實名認證的平台，要簽署白帽子協議。這樣在出現問題時，在不違反法律規定和協議約定的前提下，平台可以保護白帽子利益。

致已經、或將要加入先知的白帽子們：

守法第一，責任為先。

從2015年開始，阿里雲先知平台逐漸建立了從身份認證、行為審計到漏洞審核的「可信閉環」。

在身份認證和人員准入方面，先知測試人員經過支付寶實名認證；

在行為審計和漏洞審核方面，先知通過大數據安全分析，對測試人員行為及路徑進行實時審計和展現，判斷其操作是否符合平台規則；同時為企業提供完整的漏洞報告，對企業的漏洞信息嚴格保密。

2016年，阿里雲也通過《安全服務職業宣言》向安全行業發出「尊重、正直、公正、責任」的倡議，承諾始終將客戶安全放在第一位，呼籲安全行業從業者保護客戶的隱私與權益。

2017年，先知平台的主題是責任。在《網路安全法》正式實施之際，先知呼籲所有平台上的白帽子都能去懂法、守法，嚴格遵守先知平台的保密規定，保護自己。

在先知，白帽子，是一群有技術、有愛心、有正義感的網路護航者。而《網路安全法》的要求，是對正義者的保護傘。白帽子們，走好每一步，用技術和責任去為世界帶來更多美好的改變。

更多相關內容推薦：先知白帽大會圖記：讓安全再暖一點

什麼都不說，這是最好的。

「合法的白帽子」？你拿薪水了么？

不要被烏雲和補天誤導，你掌握不好其中的度，分分鐘倒霉。

最重要的是信任問題。

你跟管這個系統的老師關係很好么？

關係很好，膽子大，可以挑點不重要的說說，看看他的反應，再考慮要不要繼續說。

關係不好，參考輪子的答案。

首先不要作，不要干不正當的事情，查出來即使不夠法律處罰你，學校處罰也夠你受得。

不要直接告訴學校，一般外包的系統維護起來非常困難，即使你提出來了也可能很難修復。所以學校的保護方法可能就是處罰試圖或者有潛力攻擊系統的人——殺雞儆猴，以儆效尤。即使你沒有幹什麼錯事，當你進入系統後台的時候就已經背上了罪名。

可以匿名發一份郵件給信息中心讓他們處理，但注意不要暴露自己的信息。

另外可以寫好描述發烏雲混個邀請碼。

實在想利用一下，等你畢業了再說吧。

這個雲舒同學的回答「不合法，但是合理」有點嚇人了。我把我個人的看法說一下，不一定對，大家可以參考。

明確意義上來說，非授權掃描就存在法律問題，那烏雲和補天運營了這麼久，豈不是打國家法律的臉嗎？事實上我們不妨從另一個角度來看待問題：法律要保護受害者，那麼觸犯法律的前提是存在受害者，並且是受害者認為對方是故意傷害。然而事實上國內開放src的廠商在一定範圍內進行了雖然不是白紙黑字但是形成了實質意義的共識：法律上你又問題，但是我口頭上保證：在實質不損害我利益，並且將漏洞在提交給我們且保證在我們修復前不公開的情況下，我們是不會去追究責任的。

其實，最終是否追究法律責任的權利在於廠商，有幾方面的因素導致了事實上很少有白帽子（我說的是真正的白帽子而不是打著白帽子名義的破壞者）被追究法律責任哪怕是約談都沒有，這幾方面原因是：

1，廠商根本就沒能力或者沒有興趣去找安全人員的麻煩：一來是他們的技術落後，哪怕是實際上被黑客攻擊了他們都不知情，更不用提進一步維權了；一來是他們完全不重視，在業務明確遭受顯式的破壞之前，只要不影響業務的正常運行，他們也沒有動力追責；

2，有少數一部分廠商（以互聯網公司為代表）從實際利益出發，會部分支持安全人員的漏洞發現過程，這又有兩方面：一是做企業安全有一個知名的論調是「黑白兩道都要搞好關係」，萬一你得罪了一個腦袋秀逗的黑客，一怒之下搞破壞了，即使你抓了他，吃虧的還是企業，所以抱著「弄不死你就跟你合作」以及「多一事不如少一事」的態度大家保持良好互動吧；一來是實際上如果能很好的跟這批「單純」的技術人員溝通，他們確實能產生利大於弊的價值，至於其中有沒有黑客，嘿，你想多了，黑客一直都在，先把僥倖心理去掉吧；

3，即使廠商發現了，較真了，報案了，公安還得根據實際的損失金額決定是否立案以及根據優先順序排序，查案的成本可能大於實際的損失；

4，一些不能放在檯面上講的理由就不講了，總之各方面都有需要……

所以，目前其實形成了一個「官不究，民不究」的暫定事實。但是我絕不是說大家可以去放心的去滲透測試，這裡面還是有很多坑的，一定要注意。實際上已經有多起由於主觀故意甚至是不經意間涉及破壞，勒索，恐嚇等造成法律制裁的案例。

……先寫到這，開會，有時間回來補充，還有好多注意事項要告訴大家，如何在學習技術成長的同時，避免不必要的麻煩。我們要保護好一個良性的溝通機制，做事切忌衝動。再說

我進你家又不是為了偷東西，就是想看看你家鎖結不結實

非專業，只是想到一個處理問題的方法，你先去找相關老師，告訴老師自己正在自學一些什麼電腦技術，想用這些能力給學校網站做一下掃描

解釋一下原理，說明並且保證不會對學校網站造成傷害，如果發現了問題立馬告訴老師諸如此類，老師同意了你就上，沒同意就撤。

等過幾天然後報告給他你的發現不就皆大歡喜了嗎（我可能想的比較簡單，求打臉）

給烏雲和補天幫你擋一下，不刪除修改拖核心數據，系統正常運行則基本問題不大，報了不修或者裝沒看見下次被黑造成數據泄露，新的刑法修正案上那是學校的問題了。最好的辦法是不說，兔子不吃窩邊草，被人抓了把柄總是不好的，等你畢業了該幹啥就幹啥，學校也不能拿你怎麼樣。

最好是別說了吧，當初上學時把學校的網站的給入侵了，還留了後門（畢業後幾年後門還在），然後我給同學看了，他拿去給網站管理員裝逼，結果第二天就被系領導叫去了。講了一番大道理，還嚇唬我們。最後給我安排了管理網站，算是招安了吧。

有一個學長黑了系統改了成績，最作死的是還改了登錄密碼（手動再見）

刑法第二百八十六條違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，後果嚴重的，處五年以下有期徒刑或者拘役;後果特別嚴重的，處五年以上有期徒刑。

違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，後果嚴重的，依照前款的規定處罰。

故意製作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，後果嚴重的，依照第一款的規定處罰。

黑了之後，把洞給補上了，並且在其他人干這個的時候會彈出我的警告。有一個織夢的，我直接幫忙改了後台地址，然後在伺服器留了紙條給管理員：大概的意思是，我是這個學校的，這個後台地址不安全，暫時幫你改了，你最好改一個別人猜不到的，結果他們一直用我給的…… 還有很多都是還在學校的時候做的有趣的事情。哈哈哈哈

大哥,你那不就白帽,要是提交了叫灰帽啊,,,白帽是人家花錢請來測試有沒有漏洞啊親,,,,,,,,,,,

悶聲發大財。

在你怕被學校給處分的那一刻開始，你心裡已經有了答案。

在天朝那些官僚作風為主的鬼地方（比如學校），只有一條活路，那就是，事不關己，高高掛起。

引用俺早年PM的一句台詞，我們不操心會不會出事，只操心我方有沒有責任。出了什麼天大的事情，只要不是我方的責任，都不叫事。

何不冷眼旁觀，哪管身後惡浪滔天！

等你哪天牛逼到到了誰敢BB你破壞學校設施blabla你能立馬把他烏紗帽摘掉的地步，再向學校反饋這個漏洞不遲！

學校的漏洞即使發現了，不管有多嚴重，最好的辦法是讓它爛在肚子里，是最安全的辦法，當然如果你的學校是中國或者世界頂尖的，例外，這種情況請直接提交烏雲，補天或者CNVD。

測試互聯網公司，分兩種:

第一種，是自己設有應急響應中心或者是漏洞獎勵計劃的大中型互聯網公司。在測試的時候要特別注意閱讀相關說明，廠商對測試行為做了哪些限制，在這些條款規定的範圍內進行的業務漏洞查找，可以說是一種授權的合法測試，並沒有什麼風險。國內騰訊百度360，國外微軟谷歌Facebook都運行了好幾年了，只要測試行為不越界，獲得致謝的同時，還可以得到獎勵。

第二種，是對外沒有紕漏專門安全負責部門和聯繫方式的公司，做測試的時候就要注意了。第一是最好不要破壞下載數據，也不要利用邏輯缺陷刷現金，要不然事情鬧大了很有可能被追究刑責。這種情況尺度掌握不當，就會成為非法的入侵行為。

要麼不要用

要麼報烏雲

其實白帽子都是處於法律邊緣，因為這個系統是學校的，但是學校並沒有授權給你進去後台，你這樣已經算是非法進入該系統。

其實，大多廠商也都持較理解態度，只要你沒有進行行為十分惡劣的操作，他們都不會追究你的責任。態度好的廠商還會對一些白帽子進行獎勵。

可以告訴他們危害影響有多大，但不要太深入。

至於以哪種方式告知廠商，最好斟酌行事，不要引起誤會。

可以考慮把漏洞發匿名至烏雲或補天

合你的法吧！

看看合玩之後成什麼樣子

一年之後的今天，烏雲被扒皮，這問題還真TMD的諷刺