標籤:

怎樣看待各大SRC無底線捧高所謂的白帽子?

01-21

「無底線」、「捧高」、「所謂」。

「益源慶」、「恆順」、「龍門」。

我覺得兩層含義吧:一是白帽子還是屬於稀缺生物,有一批實實在在做了貢獻的給多少作為感謝都不為過;二是寧願少給一點也別得罪小人。

SRC和白帽子都是很好的,互相受益,共同進步,有些營銷活動也無可厚非,沒有捧高白帽子。

只是裡面混入了一些魚目混珠、不懂裝懂的人,他們的行為離「白帽子」越來越遠,給SRC留下了一個污點。

linso在各大SRC和論壇都混得風生水起,他是什麼東西,可以自己去查一下,偽造XXX,求別人XXX的事情你們都知道的吧~

附上個人簡歷

實際上題主舉例的事情好像跟SRC沒有關係,只是linso童鞋去百度參觀了一下,發了點微博而已,跟SRC沒有關係,跟捧高也沒有關係。

年輕就是資本,可能一些小夥伴年輕的時候是挺高調,看起來很逗比,但是只要足夠努力其實成長還是挺快的,圈子裡就有很多例子,年輕就有更多的時間可以走彎路,我們年輕的時候甚至都還沒有接觸到這個圈子,從這點說年輕的小夥伴還是比我們當年優秀的,至於以後怎樣,誰知道?

再說說刷SRC,有人說大牛不在乎那些小錢,可能是吧,但是要看是什麼單位的大牛,當大牛賺的少的應該還是挺多人的,境界高的可能看不上SRC的一些獎勵,境界不高的我想應該還是比較羨慕刷SRC的人吧。SRC給白帽子獎勵都是按照漏洞的積分給的,不管是年輕的白帽子還是其它白帽子肯定都是公平的,別人能刷到前幾名也多少能說明還是有點實力的,不服的可以去合大SRC刷刷看看唄。刷SRC的收入還是很可觀的,就拿我熟悉的360SRC來說,每個月保持web第一,一個月能拿5000元,一年12個月就能拿60000元,再加上年終頒獎一等的2萬,就是8萬元。這些在一些小地方都能頂一年的收入了。而且白帽子不是只刷一家,所以算算吧,可能土豪覺得這些都是小錢。。。

SRC肯定需要運營,運營就需要發微博等宣傳,也沒有看出哪些是毫無底線的,都是正常的宣傳,偶爾有的可能都是沒看懂文章的內容,傳一傳就變了。刷SRC的大牛也是挺多的,要說刷SRC沒技術含量,我是不同意的,還是那句話,只有刷過了才知道。

你行你去刷,不刷別BB,一切存在都有合理性,娛樂圈也要你有牛掰的技能。。。

你說的底線是指什麼?src宣傳上會說白帽子是英雄,是維護網路正義的俠客之類,哪句話觸動到你敏感的底線了喂?怎麼滴就毀了一代人了?我腦子小,梳理不清這裡面的邏輯關係。

乙方能說甲方是上帝,src就不能說白帽子是英雄了?

畢竟國內白帽子數量有限,十萬或者更多,其中搞src的大多數是學生,人數更少,這就形成了各個src的競爭關係。他們有時間但沒錢,也沒有太多的人脈太提供收益更好的項目或單子,所以搞src就成了不錯的選擇,捧一捧帶個高帽子,正處中二年級自然也覺得興奮。但你說這就能毀掉他們?如果這樣脆弱,他們也是遲早會被毀掉的。

還有人藉此來諷刺腳本小子,我作為一個二十多年的腳本小子表示很憋屈,以後再也不提交瀏覽器的洞了,二進位的也不提交了

say something...

1、SRC門檻很低,非常低!

2、99%以上的SRC絕大多數漏洞面向對象都是Web。

3、用Rank,用排名,用頭銜去定位一個個的白帽子,使得白帽子們不免有浮躁、浮誇之心。

4、定義SRC內部的虛擬貨幣去兌換實物獎品,大大增加了浮躁之心,所以各種毫無水平的SQL注入,盲打XSS,參數越權就出來了。

5、久而久之,眾多白帽子們放棄了最本質的黑客該做的事情,忘記了什麼叫做入侵。

6、所謂神器的出現,把浮躁之心宣揚到頂峰。

這些都是我去面試後回來總結出來的。

SRC的漏洞大多數都是一個SQL注入、XSS、越權、弱口令、文件包含、上傳、反序列化、Getshell。

這樣的情況久而久之局限了白帽子的能力,也讓白帽子只會挖掘這樣的漏洞而不會去深入研究這些漏洞背後的理論及基本原理。

歡迎討論,與君共勉!

就是說,人家長大了,懂事了,不搞黑產不搞破壞了,現在開始建設了,所以要鼓勵啊

甲方如果沒有src,沒有漏洞平台,老闆肯定過一段時間會問:「我高薪請你們安全部門幹些啥東西?」,這是個生態圈,魚目混珠也罷,沒有危害社會或者行業我們都睜隻眼閉隻眼,一切交給市場調節好了。

個人觀點:src並沒有捧高所謂的白帽子,畢竟拿到獎勵的都是挖到了漏洞,並通過合理的方式報告給了廠商,提高了產品的安全性,最後受益的主體還是用戶。

所謂捧高,只是一群腳本小子(可能連腳本都不會寫)的自娛自樂罷了,還有一些無良媒體的惡意宣傳,xxx天才黑客之流。這些才是安全圈的攪屎棍。

關注了一陣,看了各種回答,挺好玩的

首先,廠商建立src是好的,通過這樣的渠道和安全人員建立聯繫,各取所需,如果沒有這樣的渠道難道要回到七八年前給廠商溝通費時費力還不領情?或者像以前出個洞自己拿著利用了or賣出去?src的建立是對安全人員的認可也是對廠商解決問題的認可,這一點沒有爭辯的

接下來,題主的問題,諸位都知道一個詞,捧殺,而捧殺的對象首先要滿足一個條件,對象本人就浮躁,這樣的人最容易被捧也最願意被捧,你看什麼linso什麼各種少,哪個不是十七八歲的中二病年級,學了幾天所謂的安全技術連入行都沒入但是一身中二之心洪荒之力如何發泄?正巧甲方src需要宣傳有運營需求,一個願打一個願挨

現在圈內應該是以80or85後為中堅力量,他們技術有沉澱,工作閱歷有經驗,可能有一兩個蠢但大部分大哥都肩扛著安全生態的良性發展,也有很多90後,他們有天才有實力出眾,有靈性有堅持,這群人很多入圈比較早,一步步堅持到現在,選擇安全行業作為今後發展,但大部分90後黑客,中二病,自大,可能和現在圈中氛圍有關,越來越多的安全公司,越來越少的交流圈子,越來越多的裝逼會議,越來越少的純粹分享,這群人越發的趨向你們所說的「娛樂圈」,被捧,也高興也樂意

最後,舉個例子隨便說一下,這個問題下有個答主叫xxxx的,他回答的就是行業浮誇需降噪(你都沒入行怎麼知道的那麼清楚。。),真如此么?我看過這個人的簡歷,某src高級安全專家(一個在校學生變專家了?)多次獲得某src感謝及各種獎項獎勵,感覺很厲害,面一下看看吧,「你挖過那麼多漏洞,舉兩個我聽聽吧」「我挖的都是越權,就抓個包改參數」「有挖過其他的么?黑盒白盒的都行」「其他的好像沒做過,sqlmap不是太會用」汗 「那你自己做過滲透么」「沒有」「你怎麼評價你自己的技術水平?」「還可以吧,src上我等級評價很高的」。。。果然是很浮躁呢

汗汗汗 最後人還跟我說他不缺我這一份面試,因為自己水平不錯所以要多考慮一下(我本來一聽你啥都不會就沒打算要你啊喂)

總結一下,src捧人,需要宣傳,造神童運營需要,能捧成功,太多人水平太次濫竽充數還蜜汁自信,雙方一拍即合

安全圈確實浮躁 但是還是有很多黑客努力追求技術 努力做產品 這些為啥沒人看到呢?

其實烏雲上有些人也挺浮躁 不過絲毫掩蓋不了二哥這樣的大牛們的精湛技術 他們的洞 看一百遍都不嫌多 至於SRC上 個人不喜歡SRC那種封閉的機制 基本沒去提交過

有句話 悶聲發大財 SRC上賺的盆滿缽滿的大牛據我所知有不少 不知道比那些浮躁的人高的哪裡去 只是別人根本不說

最後總結一下 一個圈子 無論多浮躁 都有真正做事的人 你只需要關注那些做事情的大牛 對那些浮躁的人 只需要當做笑話娛樂娛樂 比如我大helen 大linso2333333

不匿了

這是個浮誇的圈子,在某SRC待過的人表示。。。

比如,很多人會覺得,我會掃XSS,掃注入,掃Struts2,然後利用工具上傳了一個什麼什麼我根本不知道名字的Webshell,拖個庫

我就是大牛了

這樣的情況每天都有,到處都是。

我不認為這種是什麼大牛,真正的大牛我認為是TK那樣的(請收下我的膝蓋),可以弄清楚每一行二進位RAW CODE的含義,明白每一個溢出的原理,可以手工構造出shellcode的人。這樣的人,是值得我們尊敬,跟隨的。而不是像某弦,做了個破大掃描器,什麼什麼馗之眼,做個好看的UI,一到真正開會的時候就標榜自己黑客的小丑,我很反感這樣的人。這樣的某弦一到開會的時候,充其量就會說自己思路猥瑣,我們又掃到了多少個XSS,撞了多少個庫,統計了幾個什麼什麼鳥漏洞,這也算黑客?我呵呵了,別侮辱黑客這個詞了。有本事你說你發現了多少個底層溢出,在哪個哪個函數,第幾行,從Ring3拿到了Ring0許可權,悄無聲息實現遠程溢出,精確ROP,我算你牛逼,否則,某弦你充其量就是個笑話。

專門回復一下Singisca的問題:

笑哭,底層和web本身就是兩個方向,馬雲上工地搬不了磚,所以他就是個辣雞,是這個意思嗎

我答覆你:

恰恰相反,在你這個比喻中,某弦才是搬磚的,因為他做不到馬雲的高度,還到處標榜自己是黑客,所以他是個辣雞。另外,樓下有人出售刷SRC的工具,你覺得這玩意能特么和二進位安全同一高度?你還笑哭?我?都笑尿三條街了!你某弦要是真愛寫掃描器,去寫個掃溢出的掃描器出來我看看,一天是不是也能掃出100個有效溢出?寫不出來不是你能力問題,而是你所謂的黑客技能是一些再簡單不過的,機器都能重複做的事情,要你人還幹嘛?

你自己去看看各大黑客組織排行榜,前十里你能找到以挖XSS為生的?你是我哥,哪個不是特么一行一行讀ASM開始的?

幾年前這個圈子浮躁成什麼操行了都?跨站就是alert1,彈框嚇唬客戶,現在好了,不用彈框了,都特么用弱口令嚇唬客戶,用水平許可權嚇唬客戶。我承認這些都是安全問題,不過距離黑客這個含義,呵呵,您們還差著十萬八千里,回去掃你們的XSS吧

始終感覺你是自問自答啊。有目的的提問有目的的回答。高級黑。

畢竟搬磚還是挺累的,拿點辛苦錢,又被批判了一番

安全圈不是早就娛樂化了么?向娛樂圈看齊。我敢說匿名回帖的都是圈裡人 哈

因為白帽子本身就沒有什麼明確的官方定義,國家也沒有什麼渠道監管他們誰來給白帽子下個標準?是不是我在烏雲提交了一個漏洞我就算是白帽子了?

像烏雲之類的網站還是org頂級域名,所以各大SRC還不是照樣該怎麼叫就怎麼叫咯!

另外附上那個linso高二的時候和我的聊天記錄,事情原委就是他手機被班主任沒收了然後要我幫他拿下他們學校網站掛黑頁(然而這並沒有什麼卵用,你認為學校會因為網站被你黑了就還你手機?這思維邏輯堪比幼兒園小朋友)

呵呵還擼日本站,linso大黑闊你看得懂日文么?

呵呵,拿下了他們學校網站我還直接進入核心,後來還真的被他拉進了他們所謂的「集結號黑(zhuang)客(bi)小組」群,結果全是各種扯淡,刷zuan,盜號,卡meng之類的信息,笑尿。

PS:上圖我有任何作假我全家暴斃

古有名言說:是金子總會發光。現有我說:是坨屎總會發臭。

常在河邊走,哪有不濕鞋,騙得了一時騙得了一世?肚子裡面有多少水終究是會現行的。

結尾附上臨川一中webshell截圖

因為他們伺服器裝了安全狗,現在已經拿不下了。

分頁阅读: 1 2