一个白帽黑客的双11_最新动态_新闻资讯_程序员俱乐部

　　摘要

　　黑客也过双十一，别人花钱，他们赚钱。

　　本文转载自微信公众号浅黑科技（ID：qianheikeji）

　　作者谢幺，微信：dexter0

《白帽故事》由科技新媒体浅黑科技出品，是对白帽子成长经历的报道系列。

世界太大，每个人的力量都很渺小，但每个愿尽一己之力，为世界贡献一点点美好的人，都值得称赞。

我们会和不同的白帽子聊天，试着用简单的笔触书记录下他们的成长、技术和未来。或许这些会对你我的选择有所帮助。

　　有人说，双 11 不仅是购物者的狂欢，也是黑产的年度盛宴。

　　有些天，人们总抽不到奖，领不到券，以为运气不好，不知数十万「撸货大军」正在疯狂汇聚、大肆抢夺优惠券、秒杀特价货物，大量"返利、促销「瞬间消耗殆尽，日入十万，盆满钵满。

　　今天我们要说的不是黑产，而是与之抗衡的白帽黑客力量。双 11，这帮「漏洞猎手」们也开始利用漏洞赚钱。不过方式和黑产截然相反。

　　（一）

　　「今天有人送 iPhone8 给我，我没要」

　　双十一前的一个周五，下班回家，我和大部分妹子们一样，盯着屏幕，搜寻着优惠活动。旋即，一个商户的抽奖活动页面落入我眼中，隐约感觉自己会中奖，有点小激动。

　　我的抽法和平常人不太一样。不少人觉得网上抽奖都是骗人的，根本抽不中。其实不仅能抽中，而且还能百发百中。要啥有啥。

　　我瞪大双眼盯着电脑屏幕，脑中浮现的是方块和线条组成的逻辑框图，那是抽奖页面背后的业务流程逻辑。随着每一个新线索的出现，它们时而拉长，延展，直到最后触及目的地，一台 iPhone 8。

　　我动用了一些计算机基础知识……

　　睡醒时已经是早上 11 点了，吵醒我的是一通电话，对方跟我要地址，说我中奖了，要是把 iPhone 8 寄过来。我没给。

　　挂了电话，径直登录 SRC（安全应急响应中心）的网页，点击漏洞提交……嗯，看样子昨天搞到一两点没白熬。

　　到这里，你应该知道我在干嘛了。

　　这就是我周末的挖漏洞日常。和以往略有不同，双 11，平台官方和商户都会上线很多活动，在我们眼里，它们是一个个新上线的「业务」，但凡业务就有流程和逻辑，开发人员犯下的每个小错误都是一道口子，这道口子要么被黑产先发现，疯狂获利，然后普通人莫名其妙地怎么也抽不中奖，领不到券；要么先被我们白帽子黑客发现，然后补上，人们继续领券、抽奖，购买快乐，剁手。

　　（二）

　　「10 月份拿了三十多万吧，三十几万记不清了，我算算哈……」

　　跟我聊着，hackbar 真的开始折指头算奖金，这个 SRC 7 万，那个 8 万，那个 6 万……算下来真的有二十多万。双十一之前的几个月对他来说是丰收月。

　　除了漏洞奖金，SRC 也办些鼓励白帽子的活动，他也砍点小奖金和礼品。

　　「比如上月蚂蚁 SRC 举办了个「城市挑战赛」，按照城市组成几人的小战队，挖漏洞最多和积分最多的队伍能拿到 20000 元团建费，用于线下搞搞活动，吃吃喝喝什么的，反正随便花。」

　　10 月 20 号那天，hackbar 发了条朋友圈，「上海的战队加油啊，各位兄弟，我一个人搞不过他们啊」

　　那阵子上海队分数领先，hackbar 作为主战挖掘机，以一己之力为队伍贡献了大多数漏洞，领先于其他五个地区的白帽子。

　　你为什么这么吊？我问他。他说，花精力多一些呗，加上运气好。如果硬要说，那就是细心，为了挖到蚂蚁金服的漏洞，我会针对性的把蚂蚁金服旗下所有品牌信息全面收集，对一些域名下的服务信息、敏感接口格外注意。同时保持对漏洞的敏感性，不要停止思考。

　　他说有阵子挖了十多天也没挖到严重漏洞，一次偶然机会，看到马云参加某会议的报道，马云说蚂蚁金服未来将对某领域进行重大投入和发展，他想到了一定会有相关应用和业务发布，跟着找过去，果然找到了高危漏洞。

　　白帽子黑客 hackbar ↑

　　hackbar  所在的上海白帽战队的队长 mi_xia（以下简称虾米）在国内某知名网络安全公司工作。这次的上海站的获胜，有赖于给力的队友周末加班加点，甚至通宵挖洞。

　　「自己这阵子忙于工作，虽然是队长，但根本无暇挖漏洞，几个月也就提交了一个。」

　　一边从事正常工作，一边利用业余时间挖漏洞，这是白帽子的常态。

　　"也有全职挖漏洞的，比如某 SRC 排名第二的谁谁谁，除了寥寥几个，其他大部分都在安全公司或甲方上班，这是我看到的。大部分是当兴趣吧？」

　　我感到很困惑：像 hackbar 那样肯下功夫，一个月挣好几万奖金的，为啥不去做全职啊？正常工资开不了这么高吧？

　　「可能觉得正常工作比较安稳？」虾米也解释不太清，「怎么说呢？对我来说，如果一直埋头挖漏洞，虽然赚到钱，但如果不去了解前沿技术，思维就会慢慢僵化，我们这行更新速度很快，跟不上的话很快就被超越甚至淘汰。」

　　不过似乎每个行业都是这么个道理。

　　95 年出生的虾米，如今已经进入网络安全行业 5 年。技术进阶第一，挣钱第二是他当前的人生奥义。在工作时看到一些客户的业务存在逻辑问题，会去仔细琢磨。会去了解新的安全防御产品和技术，茶余饭后和同事交流交流技术，在白帽子群里听大家吹吹牛逼。这是年轻白帽子们的常态。

　　（三）

　　我试图问出一些好玩的挖漏洞情节。比如具体怎么薅羊毛、怎么百分之百中奖。不肯说，一个字也不肯说。

　　「挖私有 SRC 漏洞都是签订有保密协议的，我给你说了，哪怕看起来无关紧要的内容，也可能被利用上的。」

　　黑客们就是擅长利用一些看似无关紧要的信息关联起来寻求突破。虾米自然不愿说，哪怕只是奖金额度也不太愿透露。我只有绕着弯子问：「那漏洞本身可能弥补的损失是超过奖金数额的，对吗？」

　　「当然，有些漏洞是没法轻易用价值衡量的。」

　　hackbar 说了一些，但大抵和 SRC 官方公开的漏洞评定标准差不多。涉及具体的渗透测试流程，只是一语带过，哪怕我追问，不说。

　　受人之事忠人所托，哪些能说，哪些丝毫不能，白帽子有自己的原则。我便不再追问。

　　但我印象当中的白帽子确实没那么谨慎。这大概和《网络安全法》的颁布，以及近两年圈里发生的一些事有关。

　　hackbar 说他一般只挖私有 SRC 的漏洞，完整授权，完全合法。

　　现在 SRC 数量在爆发式增长，大公司都建立自己的安全应急响应中心了，直接对接来挖洞的白帽子。小公司资源有限，也可以和漏洞响应平台合作来做相关业务。

　　「白帽子收益？钱还是不少的，优秀的白帽子资源毕竟有限，各家都愿意用高额奖金和福利来吸引白帽子。」

　　之后还会有活动吗？

　　有。

　　你还会参加吗？

　　会。

　　你会考虑辞了职去专职挖漏洞吗？

　　不会。

　　后记

　　无论在哪个时代，追求技术精进永远是白帽黑客们的目标。《网络安全法》的颁布，国内网络安全配套设施的完善，让他们有一条清晰的生存和成长之路，通过提交漏洞，得到应有回报。这样的时代或许未必最好，但一定不坏。

　　Hackbar 告诉我，双 11 参加完「城市挑战赛」，他想休息几天，准备挑个周末，挑战一下蚂蚁 SRC 为双 12 准备的白帽子福利活动。

　　我调侃他，蚂蚁 SRC 双 12 给的福利也不少吧？他说是，但这也就意味着有更多黑产在背后蠢蠢欲动，无论对他或是其他白帽子，又是一次挑战……