先知-白帽子的日常与信仰

2019-04-04 约 2766 字 预计阅读 6 分钟

声明:本文 【先知-白帽子的日常与信仰】 由作者 笑然 于 2016-10-20 12:53:22 首发 先知社区 曾经 浏览数 3399 次

感谢 笑然 的辛苦付出!

先知是什么?

在《圣经》中,先知摩西高举手杖,在波涛汹涌的红海中打开一条通路,带着以色列人走出埃及,前往应许之地;在网络游戏中,先知身处战场的远端,于股掌之间操控着风云变幻的战局。

在安全圈,也有着这样的“先知”:先知不是某一个人,而是一群白帽子。他们是互联网安全的观察者,静静地发掘着每一个潜在的危机。

以一行行代码作为手中的法杖,他们引领着互联网走在更安全、更开放的道路上,共同创造着互联网安全的新世界。

安全脉搏:上百个漏洞,十万多奖金
纵览“先知”平台的名人榜榜单,你会发现,有一个名字时常盘踞在前几名的位置,他就是安全脉搏。
从加入先知平台到今天,安全脉搏已经提交了上百个漏洞,成为先知积分排行第一的白帽子,但提到这一傲人成绩时,他的语气轻描淡写,随意得如同在谈午餐吃了什么:“大概吧,记不太清了。”

安全脉搏的黑客之路始于2005年:大学时,他被一位学长的逆向破解技术所折服,有意拜师学艺,学长却告诉他:“你先学好汇编吧。”过了一段时间,他偶然在街角的报刊亭看到一本《黑客手册》,竟由此发现了新世界的大门:web渗透。“当时觉得web渗透成就感更强,于是走上了这条不归路。”

加入“先知”后的斐然成就,让旁人对安全脉搏艳羡不已,直呼“大神”,但他却从不以此自傲:“做白帽,最重要的还是保持平常心。”

对于众测平台的优势,作为从业者的他深有感受:“从漏洞发现数量、效果及周期上来说,众测平台确实好一些,毕竟众人拾柴火焰高嘛。”他还希望看到更多的白帽子加入这一行列:“想和先知上大神同台竞技的话,这是一个不错的机会,还可以顺便赚点零花。”

说是“赚点零花”,但事实上,白帽子在“先知”上的所获,远超零花钱的范畴:不同等级的漏洞都有相应奖励,单个漏洞最高可以达到五万元。每个月的月奖之星月入都超过一万。时至今日,安全脉搏已经在先知平台上累计获得奖金十万多。丰厚的奖金固然是一种激励,但他还收获了更重要的东西,那就是“名利之外对技术原始的热爱和疆场匹敌的豪情。”

除了白帽子的身份,他还坚持带领安识科技的团队运营着优质技术自媒体社区http://www.secpulse.com,用技术亲手为安全世界添砖加瓦的同时,他也通过自己的声音,让更多的人能深入了解互联网安全。

独自等待:高中就立志当黑客

虽然并非安全从业者,但在安全圈,独自等待已经算得上是老资格了:除了“先知”的平台漏洞挖掘者,他还是资深网络安全博主,waitalone.cn的掌门人。

在提到自己在“先知”上的成绩时,他神秘地笑着,“不便透露,进驻你就知道了。”大牛们挖洞速度实在太快了,压力山大啊。”“大牛”说的不是别人,正是“安全脉搏”。话虽如此,但在先知的名人榜上,他的成绩仅次于安全脉搏,排名第二位。

独自等待的安全生涯是从一本书开始的:高一时,他在学校对面的小书店偶然看到一本凯文·米特尼克的自传,立刻被深深征服。此后,他放弃了订阅多年的杂志《科技纵横》,取而代之的是各种黑客杂志:《非安全》《黑客手册》《黑客防线》《黑客x档案》。当时,电脑尚未普及,独自等待对安全的认识也只能停留在理论阶段,直到上了大学,他才有机会接触到真正的IT技术,还亲历当年举世瞩目的中美黑客大战。

如今,独自等待依然坚持运营着自己的安全博客:http://www.waitalone.cn。该博客建立于2009年2月14号,到今天已有七年时间。提及自己的“小天地”,他带着几分得意和自豪:“虽然我技术一般,但多少还能为各位新手小伙伴提供一个知识分享的平台。”

在“先知”的名人榜榜单上,独自等待的头像尤为显眼:一个Q版的超人骄傲地笑着,鲜红的斗篷正随着风上下翻飞。他本人正像是一个小小的超级英雄,凭借着自己的能力守望着安全的天空。

男仔无才:挖漏洞就像打怪升级

“男仔无才”的名字带着明显的调侃意味:在世俗标准里,“男子”是必须能够建立一番功业的,要是“无才”,那成了什么了?他却偏偏用“男子无才”四个字作为ID。

据了解,之所以用这样一个ID,是要告诫自己要保持低调,继续努力,直到得到自己的认可。实际上,他也并非真的“无才”:能登上“先知”的名人榜,这哪是平庸之辈能做到的?

有趣的人通常都对世界充满了好奇心,男仔无才也不例外,他进入安全圈,就是因为对于新知识的好奇:大学期间在网络中心做维护,他发现网站代码里总有一些奇怪的链接。“这究竟是哪里来的,感觉很酷。”出于这样的好奇,他开始接触安全技术,读研时更是索性选择了网络安全专业。

大学期间接触了SRC和漏洞平台的男仔无才在听说先知平台以后,就合计着“过来尝试尝试”。“现在的安全氛围挺不错的,在研究技术的同时还可以赚一些外快。比如一个在校生,通过挖漏洞已经可以基本解决自己的生活费用,大牛们更是做到足以补贴家用了。自己能获取一些生活所需,又能帮助企业的安全建设,利人利己,何乐而不为呢?”

男仔无才的生活准则是“踏实地学习,快乐地生活”。他这样解释“踏实地学习”:“别人学习的时候你也在学习,那是应该的;别人在玩的时候你在学习,那是赚的。”后半句则无需多言,安全研究已经赋予他足够的乐趣。对他来说,先知的模式就像是网络游戏一样充满乐趣,不同点在于,游戏需要投入,挖漏洞却可以赚钱:“赚些零花钱买点儿花生瓜子小吃果盘饮料啥的,多好啊。”

对于未来,他的期许也幽默感十足:“期待先知的下一个版本,让所有拿到积分的童鞋都可以兑换上小礼物,至少应该换件T-shirt嘛——大牛们在群里一直嚷着没衣服穿,都要光着腚啦。”

熊猫:“人是最大的bug”
在提及安全最薄弱的环节时,“男仔无才”笑着说:“大概是人吧,因为是人在一直写bug。”在这一点上,没有谁比熊猫感受得更深刻了。

“人才是一个企业的根本,以前人们总是说,安全源于信息的不对称,漏洞产生于人们对安全的无知。现在我们可以借助许多先进的扫描器去发现很多系统上的漏洞,但是并没有去试图解决那个导致漏洞的人,也就无法避免再出现类似的错误。只有从根本上去加强企业人员的安全素质,才可以更好地推行企业安全制度,从根本上解决企业安全问题。”

对于人造成的安全问题,熊猫认为好的解决之道也在于人,而众测恰恰“以人为本”的:“安全包含方方面面,每个人的擅长的领域也各不相同,众测会让你发挥你擅长的东西去进行测试,各个层面最擅长的人去做自己最擅长的事情,尽可能多地为企业发现漏洞。并且有运营人员的把控,减少了厂商和白帽子之间不必要的麻烦。”

对于新人,熊猫郑重地给出了一句忠告:“千万别来。”随后他又笑着补充了一句:“你们来了,我的奖金肯定被你们抢光啦,哈哈。”

关键词:[‘众测’, ‘先知众测’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now