少年白帽子的理想乡_最新动态_新闻资讯_程序员俱乐部

[核心提示] 每月在一个叫 WooYun 的酒吧里，都会有一次白帽子聚会。偶遇神秘的「路人甲」？那就要看你的运气啦。

　　H 是来自人大附中的高三学生，因为 SAT 的关系最近睡的很晚有些憔悴；肉肉是来自成都的女孩子，今年大四因为大学挂过课正愁该如何毕业；zph 今年 12 岁，说起话来语速很慢仿佛每一个字都经过思考；B 君爱刷知乎，从小的兴趣是天文学，还有户外。

　　他们都有一个共同的名字——白帽子。

　　关于他们的一些小故事

　　学生家长被骗，问题可能出在系统上

　　CMIS（Campus Management Information System）是自 2001 年起在北京全市中小学使用的校园管理信息系统，至今已经被部署在北京的全部中小学中。由于涉及业务甚广，系统中包含学生、学生家长、应届毕业生电话、住址等在内的详细内容等大量敏感数据。

　　一旦 CMIS 系统有漏洞这些信息很容易被恶意利用，比如今年年初，有不法分子打电话给学生家长谎称「小 X 在学校打架受伤了，正在医院抢救，快汇钱」，各种形式的欺诈数据源均为 CMIS。不久前，H 对 CMIS 进行了一次审计，发现了数个高危安全漏洞，目前已经交由第三方厂商 (cncert 国家互联网应急中心) 处理。

　　同时 H 还是中学生技术爱好者社区 ILLUMER Community 的创始人之一。

　　「「illume」在词典中的解释是「照亮，点亮，启发」，而在 illume 后边加上 r，就变成「点亮者，启发者」的意思了。」

　　前段时间被媒体疯狂炒作的 13 岁小黑客也是 ILLUMER 的成员，包括 H 在内的组织者都在努力保护他不受侵扰。

　　「请记住他只是个孩子……他也应有一个 13 岁少年应有的生活。」

　　当然，13 岁的黑客可不止一个。

　　12、3 岁在干嘛？训练田径、天文观测、还是玩儿泥巴？

　　12 岁的 zph 正在玩漏洞。

　　zph 接触互联网的时候才 5 岁，自己给电脑重装系统、下载软件。后来学写代码，写 C，也写 C++。再后来自学 ASP、PHP，入了网络安全的坑，总想着打开的网站是不是安全，找漏洞「已经成为习惯」。

　　比如去图书馆查书，试试调用命令就顺利进入后台；再比如酒店信息泄露那段时间，用爆破方法成功获得大量订单和客户资料；或者刷微博的时候测试「关注」的 API 接口，通过调换两方 ID 位置，让对方成功关注自己。

　　这些漏洞 zph 都已经上报厂商，他提出的支付宝、phpwind 漏洞也都得到了厂商的重视。

　　zph 看起来和一般 12 岁的男孩子没有什么不同，如果一定要说不同就是很安静、很有礼貌、笑起来萌萌的。出来参加活动，zph 会有家人陪同。

　　zph 的家人对计算机安全也很感兴趣，关于公共 WI-FI 安全问题还问了 B 君好几个问题。

　　对了，这就是第三个小故事了。

　　免费 Wi-Fi 敲门不要开，大灰狼可能会来?

　　B 君已经在乌云注册了将近 700 天，「低调」的他更愿意充当一个「观察者」。

　　走进乌云酒吧，犹豫了一下才连接的开放 Wi-Fi 果然有猫腻，后来才知道这屋子里有「锁」没「锁」将近 10 个 Wi-Fi、包括名称为 CMCC 在内的，全都是 B 君用来捕「鱼」的钩子。

　　通过路由器截获数据包，路由器拥有者可以轻松了解连接者上了那些网站、正在做些什么。如果你还登陆了自己的社交账号，恭喜你，你的账号密码已经是他人的囊中之物。

　　为了调查公众对 Wi-Fi 的警惕性，B 君买了网卡、无线路由到地铁上进行测试。在能覆盖一节——一节半车厢、大概 150 人的信号范围中，超过 40 人连接了他的「免费」Wi-Fi。让人哭笑不得的是，还没等测试完，一个用 Wi-Fi 看视频的哥们儿就烧光了他 1G 的流量卡。

　　后来 B 君跑去在某高校测试，超过 500 人的链接数让测试设备瞬间崩溃。

　　那用公共 Wi-Fi 不上社交网站不就好了？这是个好主意，但也依然要小心。

　　因为大灰狼手里可能有大棒子。

　　通过一些特殊手段（这里是马赛克），大灰狼可以对你的电脑进行缓存投毒或者种下木马。然后你的电脑就成了他的电脑，在看不见的地方默默把你的电脑当肉鸡用。

　　如何判断公共 Wi-Fi 是真 Wi-Fi？有个简单办法是连接 CMCC、Unicom 等公共 Wi-Fi 成功后会跳出登录页面。连接后没有认证页面顺利上网，不用怀疑 90% 你已经上钩了。

　　当然，认证页面也是可以被丧心病狂的伪造的。

　　哦对了，这些被 B 君抓到的数据大家可以放心，他已经做了无害化处理。但是其他你不小心连过的 Wi-Fi，只能自求多福了。

　　到哪儿找他们？

　　在 798 剧场旁的一家叫 WooYun 的酒吧里，每个月都会有一次白帽子聚会。这是「第一家黑客文化酒吧」，当然不是黑客也可以进去喝一杯——没准坐在离你五米远的那个人就是某著名白帽子。

　　这里最著名的酒叫 DDos，叫上朋友来一打准没错。至于是什么，试过就知道了。

　　社交恐惧？那就要去乌云上寻找他们的踪迹了。

　　酒店开房信息泄露？曝出支付宝漏洞？直指携程泄露用户信用卡信息？这些都是乌云的「功绩」，崇拜也好、质疑也罢，乌云的初衷是为互联网安全研究者提供一个公益、学习、交流和研究的平台。

　　注重尊重、进步、与意义的乌云，也成了白帽子的理想乡。

　　关于乌云的故事有很多，今天还是先喝一杯吧。

　　「欢迎来到我的酒馆，哈，快找个位置坐下来。」