【白帽】阿里「先知」：白帽子的日常與信仰

「「先知」是什麼？」

在《聖經》中，先知摩西高舉手杖，在波濤洶湧的紅海中打開一條通路，帶著以色列人走出埃及,前往應許之地；在網路遊戲中，先知身處戰場的遠端，於股掌之間操控著風雲變幻的戰局。

在安全圈，也有著這樣的「先知」：先知不是某一個人，而是一群白帽子。他們是互聯網安全的觀察者，靜靜地發掘著每一個潛在的危機。

以一行行代碼作為手中的法杖，他們引領著互聯網走在更安全、更開放的道路上，共同創造著互聯網安全的新世界。

安全脈搏：上百個漏洞，十萬多獎金

縱覽「先知」平台的名人榜榜單，你會發現，有一個名字時常盤踞在前幾名的位置，他就是安全脈搏。

從加入先知平台到今天，安全脈搏已經提交了上百個漏洞，成為先知積分排行第一的白帽子，但提到這一傲人成績時，他的語氣輕描淡寫，隨意得如同在談午餐吃了什麼：「大概吧，記不太清了。」

安n全脈搏的黑客之路始於2005年：大學時，他被一位學長的逆向破解技術所折服，有意拜師學藝，學長卻告訴他：「你先學好彙編吧。」過了一段時間，他偶然在n街角的報刊亭看到一本《黑客手冊》，竟由此發現了新世界的大門：web滲透。「當時覺得web滲透成就感更強，於是走上了這條不歸路。」

加入「先知」後的斐然成就，讓旁人對安全脈搏艷羨不已，直呼「大神」，但他卻從不以此自傲：「做白帽，最重要的還是保持平常心。」

對於眾測平台的優勢，作為從業者的他深有感受：「從漏洞發現數量、效果及周期上來說，眾測平台確實好一些，畢竟眾人拾柴火焰高嘛。」他還希望看到更多的白帽子加入這一行列：「想和先知上大神同台競技的話，這是一個不錯的機會，還可以順便賺點零花。」

說n是「賺點零花」，但事實上，白帽子在「先知」上的所獲，遠超零花錢的範疇：不同等級的漏洞都有相應獎勵，單個漏洞最高可以達到五萬元。每個月的月獎之星月n入都超過一萬。時至今日，安全脈搏已經在先知平台上累計獲得獎金十萬多。豐厚的獎金固然是一種激勵，但他還收穫了更重要的東西，那就是「名利之外對技術原n始的熱愛和疆場匹敵的豪情。」

除了白帽子的身份，他還堅持帶領安識科技的團隊運營著優質技術自媒體社區http://www.secpulse.com，用技術親手為安全世界添磚加瓦的同時，他也通過自己的聲音，讓更多的人能深入了解互聯網安全。

獨自等待：高中就立志當黑客

獨自等待

雖然並非安全從業者，但在安全圈，獨自等待已經算得上是老資格了：除了「先知」的平台漏洞挖掘者，他還是資深網路安全博主，http://waitalone.cn的掌門人。

在提到自己在「先知」上的成績時，他神秘地笑著，「不便透露，進駐你就知道了。」大牛們挖洞速度實在太快了，壓力山大啊。」「大牛」說的不是別人，正是「安全脈搏」。話雖如此，但在先知的名人榜上，他的成績僅次於安全脈搏，排名第二位。

獨n自等待的安全生涯是從一本書開始的：高一時，他在學校對面的小書店偶然看到一本凱文·米特尼克的自傳，立刻被深深征服。此後，他放棄了訂閱多年的雜誌《科n技縱橫》，取而代之的是各種黑客雜誌：《非安全》《黑客手冊》《黑客防線》《黑客x檔案》。當時，電腦尚未普及，獨自等待對安全的認識也只能停留在理論階n段，直到上了大學，他才有機會接觸到真正的IT技術，還親歷當年舉世矚目的中美黑客大戰。

如今，獨自等待依然堅持運營著自己的安全博客：http://www.waitalone.cn。該博客建立於2009年2月14號，到今天已有七年時間。提及自己的「小天地」，他帶著幾分得意和自豪：「雖然我技術一般，但多少還能為各位新手小夥伴提供一個知識分享的平台。」

在「先知」的名人榜榜單上，獨自等待的頭像尤為顯眼：一個Q版的超人驕傲地笑著，鮮紅的斗篷正隨著風上下翻飛。他本人正像是一個小小的超級英雄，憑藉著自己的能力守望著安全的天空。

男仔無才：挖漏洞就像打怪升級

「男仔無才」的名字帶著明顯的調侃意味：在世俗標準里，「男子」是必須能夠建立一番功業的，要是「無才」，那成了什麼了？他卻偏偏用「男子無才」四個字作為ID。

據了解，之所以用這樣一個ID，是要告誡自己要保持低調，繼續努力，直到得到自己的認可。實際上，他也並非真的「無才」：能登上「先知」的名人榜，這哪是平庸之輩能做到的？

有趣的人通常都對世界充滿了好奇心，男仔無才也不例外，他進入安全圈，就是因為對於新知識的好奇：大學期間在網路中心做維護，他發現網站代碼里總有一些奇怪的鏈接。「這究竟是哪裡來的，感覺很酷。」出於這樣的好奇，他開始接觸安全技術，讀研時更是索性選擇了網路安全專業。

大n學期間接觸了SRC和漏洞平台的男仔無才在聽說先知平台以後，就合計著「過來嘗試嘗試」。「現在的安全氛圍挺不錯的，在研究技術的同時還可以賺一些外快。n比如一個在校生，通過挖漏洞已經可以基本解決自己的生活費用，大牛們更是做到足以補貼家用了。自己能獲取一些生活所需，又能幫助企業的安全建設，利人利n己，何樂而不為呢？」

男n仔無才的生活準則是「踏實地學習，快樂地生活」。他這樣解釋「踏實地學習」：「別人學習的時候你也在學習，那是應該的；別人在玩的時候你在學習，那是賺n的。」後半句則無需多言，安全研究已經賦予他足夠的樂趣。對他來說，先知的模式就像是網路遊戲一樣充滿樂趣，不同點在於，遊戲需要投入，挖漏洞卻可以賺n錢：「賺些零花錢買點兒花生瓜子小吃果盤飲料啥的，多好啊。」

對於未來，他的期許也幽默感十足：「期待先知的下一個版本，讓所有拿到積分的童鞋都可以兌換上小禮物，至少應該換件T-shirt嘛——大牛們在群里一直嚷著沒衣服穿，都要光著腚啦。」

熊貓：「人是最大的bug」

在提及安全最薄弱的環節時，「男仔無才」笑著說：「大概是人吧，因為是人在一直寫bug。」在這一點上，沒有誰比熊貓感受得更深刻了。

「人n才是一個企業的根本，以前人們總是說，安全源於信息的不對稱，漏洞產生於人們對安全的無知。現在我們可以藉助許多先進的掃描器去發現很多系統上的漏洞，但n是並沒有去試圖解決那個導致漏洞的人，也就無法避免再出現類似的錯誤。只有從根本上去加強企業人員的安全素質，才可以更好地推行企業安全制度，從根本上解n決企業安全問題。」

對n於人造成的安全問題，熊貓認為好的解決之道也在於人，而眾測恰恰「以人為本」的：「安全包含方方面面，每個人的擅長的領域也各不相同，眾測會讓你發揮你擅n長的東西去進行測試，各個層面最擅長的人去做自己最擅長的事情，儘可能多地為企業發現漏洞。並且有運營人員的把控，減少了廠商和白帽子之間不必要的麻n煩。」

對於新人，熊貓鄭重地給出了一句忠告：「千萬別來。」隨後他又笑著補充了一句：「你們來了，我的獎金肯定被你們搶光啦，哈哈。」

那麼，這些自帶傳奇光環的白帽子所說的「先知」，到底是什麼呢？

先n知（安全情報平台）是一個幫助企業發現安全漏洞和風險的私密眾測平台。企業加入先知後，可自主發布獎勵計劃，激勵先知平台的白帽子或者安全公司來測試和提n交企業自身網站或業務系統的漏洞，全面發現安全問題和風險，按漏洞效果付費。它也是國內第一家做到對白帽子24小時內完成從漏洞確認到賞金支付的眾測平n台。

https://xianzhi.aliyun.com

拓展閱讀 ：

【白帽】圈裡圈外，笑然面對

【人物】刺風有道，吳翰清的雲端飛揚