一年超90萬漏洞獎勵，Carry_your可複製嗎？｜白帽

01-28

全文共4285字，閱讀大約需要7分鐘

法律風險下，挖漏洞就像好人提醒倉庫管理員關門，最具「情商」的提醒辦法是進去後不拿金銀珠寶，只拿一把掃帚，證明倉庫是有被入侵風險的即可。
同樣的信息，黑產犯罪人員可以在賣給A買家後，再賣給B、C、D買家，收到信息的人也可以做「二房東」，接著賣，這意味著，100萬條信息會被「榨乾」到完全失去價值後才被放棄，累計收入可能達到上千萬元。而白帽將這些信息作為漏洞提交可能只有3000元獎勵。
相對黑產而言，白帽子是一群弱勢群體。

在美國職業籃球（NBA）常規賽的競技舞台上，每個月都會評出一個月最佳球員，如果某一球員拿到這一殊榮，說明他在過去的一個月表現最佳，但在NBA歷史上沒有球員可以連續12個比賽月都拿到最佳球員。

在漏洞挖掘領域，Carry_your（以下簡稱Carry）做到了。

Carry從2016年4月開始，連續十二個月在補天漏洞響應平台（以下簡稱補天平台）月度排行榜中名列第一，廠商對他的獎勵超過90萬，其中包括專屬SRC、公有SRC和360眾測。

不難想像，Carry的成績讓他成為了許多白帽黑客崇拜的對象。同行和外界對於他的討論，主要集中在三個問題。

第一，Carry是如何做到每個月都最快挖到最多漏洞？

第二，（相對黑產）Carry年入90萬處在何種水平？

第三，Carry可以複製嗎？

在上海的一家咖啡廳， Carry解答了同行和外界對於他的所有疑問，但在回答這些問題之前，我們有必要對Carry的經歷有一些基本了解。

Carry的成長經歷

與許多白帽子一樣，Carry走上做安全的道路是因為打遊戲，但與其他人的學習動機不同，Carry是因為遊戲號被盜。

在一次裝備交易中，Carry點開了對方發來的（偽裝）TXT文檔，電腦瞬間中了病毒，裝備在很短的時間內不翼而飛。盛怒之下，Carry主動學習了黑客技術，並在一個月後以牙還牙，戲劇性地重置了盜號者的QQ號，讓盜號者被盜號。

在此後技術成長的過程中，Carry做了不少走在「違規」邊沿的「惡作劇。」

包括通過遠程控制老師的電腦拿到英語試卷；爆破伺服器抓取少量肉雞；和興趣小組一起劫持中國紅客聯盟官網；進入大學伺服器，尋找「軍訓女神」，但在最後一步主動放棄；按照全國高校排行榜測試了200多個高校伺服器的漏洞，並將漏洞提交給了補天平台。

Carry的成長是「實戰攻擊」式的，符合「未知攻，焉知防」的原理，但是隨著法律的健全與清晰，類似的實戰練習其實無時無刻都像是在走鋼絲，左邊是正義合規，右邊就是違法違規。

當被問及：「是否有更好的辦法，既可以熟悉「攻」，又可以不在現實中違法時。」

Carry已不再是當年那個愛「惡作劇」的少年，他變得成熟穩重。他說：「所有的非實戰，都是人為控制的環境，對突發問題的經驗積累很少，但是考慮到合法合規，現在仍然有很多方式可以幫助白帽子提高。比如自己搭建模擬漏洞環境、打CTF比賽等。」

即使是在真實的漏洞挖掘環境中，Carry也遠比自己少年時要謹慎細緻的多。他說：「比如在證明一個漏洞的危險程度時，資料庫中有很多信息，選擇一些無關緊要的信息跑，能證明漏洞的價值即可，不要觸碰核心信息。」

這一過程就像好人提醒倉庫管理員關門，最具「情商」的提醒辦法是進去後不拿金銀珠寶，只拿一把掃帚，證明倉庫是有被入侵風險就完成了使命。

將200多個大學漏洞提交給補天平台後，Carry通過「庫帶計劃」（補天平台對接廠商和白帽子，以現金獎勵方式徵集開源建站系統漏洞），進入360實習，並在不久後轉為正式員工。

但因為不習慣北京的氣候，2016年4月，Carry在和新婚妻子商量後，選擇前往上海打拚，也正是在那裡，他正式開始了漏洞挖掘的巔峰之路。

如何每月最快挖掘最多的漏洞？

因為「經驗」，Carry反覆提到這個抽象的詞語，可經驗到底是什麼？

Carry從不吝嗇他挖漏洞的方法，經常積極地將其分享給其他朋友，但即使這樣，也很少有人真的像他一樣近乎「偏執」地「挖」下去。

Carry說：「我比較固執，屬於撞了南牆也不回頭的那種，對於一個廠商的漏洞我會一直挖下去，一周不行兩周，兩周不行一個月，直到對這個廠商的漏洞非常熟悉，熟悉到只要這個廠商有更新，我就能快速地找到漏洞。」

事實上，Carry的做法並不符合漏洞挖掘的常規。漏洞挖掘市場的一般規律是：「當一個廠商有大面漏洞爆發時，眾人一擁而上，用較低的時間成本，瘋搶漏洞，賺取獎勵；而當一個廠商漏洞較少時，因為搜索漏洞的時間成本上升，大家便逐漸退潮。」

Carry說:「大家退潮的時候，我不會退，我還會一直挖。我覺得不應該計較一個漏洞挖掘的時間成本，而是看整體，深挖的過程會讓自己對廠商更加熟悉，也就是所謂的「經驗。」在該廠商再次更新版本的時候這種經驗會體現出作用，很自然地，你就會比其他人更快的挖到更多漏洞。方法很笨，但效果很好。」

為人所不知的是，在Carry連續十二個月拿下補天月度冠軍之前，類似的深挖工作，他做了三年。最早Carry挖掘一個漏洞大約價值80塊錢，比現在許多挖洞「菜鳥」還要低，當時，他挖洞一年的收入也不超過兩萬。

但是Carry選擇了堅持。

Carry說：「其實沒有什麼技巧，堅守一些底線的原則並堅持的做下去就能成。對我而言有三點。」

第一，從簡單漏洞入手，雖然獎勵不高，但技能提升很快，循序漸進。

第二，很多白帽子將經歷花在了抱怨上，埋怨單個漏洞錢給低了。我覺得不能心浮氣躁，僅僅看單個漏洞的價值，要沉住氣，看整體的價值。

第三，不要因貪心動歪念頭，比如因為錢給少了，就賣給黑市。一旦陷進去就出不來了。

相對黑產，Carry年入90萬處在何種水平？

據安全專家估計，在中國，黑產涉及的金額可能已經超過了上百億。僅以老百姓的信息泄露為例，每個老百姓的個人信息假設價值1元錢（其中包括姓名、手機號碼、銀行卡賬號甚至密碼、住址、通訊錄信息、社交軟體信息、照片等），若以單次售出100萬條一手信息計算，黑產犯罪人員一夜可以賺得100萬元。

而針對同樣的信息，黑產犯罪人員可以在賣給A買家後，可以再賣給B、C、D買家，收到信息的人也可以做「二房東」，繼續轉售，這意味著，100萬條信息會被「榨乾」到完全失去價值後才被放棄，累計收入可能達到上千萬元。

Carry在早些時間接受採訪時曾說：「白帽子跟黑產比起來，屬於弱勢群體。」

當被問及為什麼的時候，Carry平靜的語氣中帶有些細微的情緒，他給出了兩點答覆：

第一，從容錯率的角度而言。黑產躲在暗處，法律的執行者追查黑產的成本很高，可謂暗箭難防，所以即使黑產出了一點差錯，也不會完全「翻船」。但是白帽子在明處，白帽子的身份信息，所做的事情，大家都看得清清楚楚，所以如果白帽子在「鋼絲」上一步沒走穩，掉下來很容易。

第二，從利益回報而言。舉個例子，同樣的信息，一個漏洞賣給暗網，也就是做黑產，可能可以賺100萬，但是將這一漏洞提交給泄露信息的公司，也許連3000元的漏洞獎勵都沒有。白帽子無時無刻不再面臨著利益超出百倍的「誘惑。」

很多人都會想問：「面對這麼大誘惑，白帽子的內心有過猶豫和糾結嗎？」

Carry說：「我身邊有朋友做（黑產），曾邀請我一起做，但我拒絕了。我看到的是一些人做黑產之後再也出不來了。要麼過著紙醉金迷的生活，每天擔心被抓捕，要麼已經被抓捕，總之，一旦做了黑產再也過不了正常人的生活，而我更喜歡正常的生活。」

此時，筆者問Carry：「是否覺得自己是一種證明？證明了黑客可以通過合法的手段，抵抗住誘惑，光明正大地賺錢。」

Carry喝了一口咖啡，抿著嘴沉思了一下說：「也許是吧。但有時候我會覺的有些不公平。正義太不值錢，邪惡卻那麼值錢。特別是在你做好事兒的時候，一些廠商並不領情，不重視漏洞的風險，覺得你是「故意找茬」，有點吃力不討好。」

Carry出生於一個傳統家庭，早些年他做白帽子都遭到過父母的反對，在父母的理解中，白帽子也是黑客，黑客就是「在網上偷東西」的人。

當父母看到Carry無數次面對「吃力不討好」，還依舊堅持時，父母明白了。他們清楚地知道了自己兒子所做的事情是在為社會做貢獻，為國家安全、企業安全、個人安全奉獻著自己的能量。父母意識到，白帽子是正義的，不是「小偷」，而是「俠客」。

Carry可複製嗎？

「可複製」Carry說：「但是現在的情況是蛋糕做大速度很慢（專屬SRC廠商增速很慢），白帽子的增速卻很快，狼多肉少。一個Carry出現，另一個Carry就會消失，這樣產業永遠無法做大。」

根據CNNIC發布的第39次《中國互聯網路發展狀況統計報告》顯示，截至2016年12月，中國的網民規模達7.31億，互聯網普及率為52.3%，網路已經成為人們不可分割的一部分。

這句「沒有網路安全，就沒有國家安全、企業安全、個人安全」說了很多年，但到今天，它再也不是空談，而是赤裸裸的現實。

Carry說：「雖然市場前景很樂觀，市場也很大。但就當下而言，重視網路安全的企業還是太少了。專屬SRC的增速無法和白帽的增速相匹配，白帽子的競爭壓力將會越來越大。」

許多新入行的白帽會問：「難道沒有緩解壓力的方法了嗎？」

據Carry所言：「眾測將成為專屬SRC的有利補充，也就是另一塊蛋糕，它將緩解白帽在專屬SRC中的競爭壓力。」(眾測是指根據企業的需求，組建白帽子精英團隊，為企業產品、系統進行針對性的安全測試。)

左一譚曉生右二 Carry

兩塊蛋糕的吃法，Carry認為從根本上是一致的，還是三點：「第一，搶著吃，要快；第二，挑」質量」好的吃，要准；想做到上述兩點，要先做第三點，積累經驗，接受不夠成功，堅持地去吃。」 其中最重要的，是最後一條。

白帽事業的背後

Carry說：「我是一個很固執的人，這種固執用到做事上，很好。用到家庭和生活中，就不太好。所以我有時候會跟太太鬧一些小矛盾。」

在360實習的時候，Carry認識了她，為了跟她有更多的共同話題，他越權去一個招聘網站拿到了女孩兒的簡歷。當他和女孩兒攤牌的時候，女孩兒有些驚嚇又有些驚喜，這種「浪漫」有點與眾不同。

有一次，還是男女朋友關係時，他們因瑣事吵架，Carry的脾氣很倔，不會哄女孩兒。她說要分手回家，Carry完全沒有攔她。她回老家後，Carry感到了心中的一股陣痛，他這才趕緊定了最近的航班去她的老家把她追了回來。

他們結婚後，每年的生日，太太都會給Carry驚喜，讓他印象深刻的是，有一次她做了影集，記錄下了他們在一起的點點滴滴。Carry說：「對於做白帽子的事兒，太太很支持，也很理解我，就是我自己，有時候太倔了。」

現在，夫妻倆有了孩子，在上海這個大城市有了一個自己溫馨的小家。Carry說自己有了孩子之後變了，他說：「是一種責任心，我開始不光是為了我一個人奮鬥。比如眾測，在和家庭有衝突的時候，我會有所取捨，如果孩子哭了，要照顧孩子，一些項目就不做了。但是我感覺很值，對於項目來說，孩子更重要。」

有朋友評價說Carry是一個低調的大神，令人敬仰和欽佩。但是Carry身上似乎更多的是勤奮和努力。他穿著平淡無奇的體恤衫，白天乘坐一個小時的地鐵往返上班，晚上花費四個小時進行漏洞挖掘和眾測，日復一日。

在家Carry照顧妻子和孩子，出門扛起工作和事業。Carry說自己就是一個普通人，壓力大了繞著街道跑跑步，餓了就吃，渴了就喝。他說：「如果想保持第一，長期的一致的堅持比短期高爆發要管用的多。」

一年超90萬漏洞獎勵，Carry_your可複製嗎？

答案不在他身上，而在你心裡。