一個白帽黑客的雙11 | 白帽故事

《白帽故事》由科技新媒體淺黑科技出品，是對白帽子成長經歷的報導系列。

世界太大，每個人的力量都很渺小，但每個願盡一己之力，為世界貢獻一點點美好的人，都值得稱讚。

我們會和不同的白帽子聊天，試著用簡單的筆觸書記錄下他們的成長、技術和未來。或許這些會對你我的選擇有所幫助。

白帽故事目前沒有固定計劃，我們會不定期更新，這是第1篇。

有人說，雙 11 不僅是購物者的狂歡，也是黑產的年度盛宴。

有些天，人們總抽不到獎，領不到券，以為運氣不好，不知數十萬「擼貨大軍」正在瘋狂匯聚、大肆搶奪優惠券、秒殺特價貨物，大量"返利、促銷「瞬間消耗殆盡，日入十萬，盆滿缽滿。

今天我們要說的不是黑產，而是與之抗衡的白帽黑客力量。雙11，這幫「漏洞獵手」們也開始利用漏洞賺錢。不過方式和黑產截然相反。

 

（一）

 "今天有人送iPhone8給我，我沒要」

雙十一前的一個周五，下班回家，我和大部分妹子們一樣，盯著屏幕，搜尋著優惠活動。旋即，一個商戶的抽獎活動頁面落入我眼中，隱約感覺自己會中獎，有點小激動。

我的抽法和平常人不太一樣。不少人覺得網上抽獎都是騙人的，根本抽不中。其實不僅能抽中，而且還能百發百中。要啥有啥。

我瞪大雙眼盯著電腦屏幕，腦中浮現的是方塊和線條組成的邏輯框圖，那是抽獎頁面背後的業務流程邏輯。隨著每一個新線索的出現，它們時而拉長，延展，直到最後觸及目的地，一臺iPhone 8。

 

我動用了一些計算機基礎知識……

 

睡醒時已經是早上11點了，吵醒我的是一通電話，對方跟我要地址，說我中獎了，要是把iPhone 8 寄過來。我沒給。

掛了電話，徑直登錄SRC（安全應急響應中心）的網頁，點擊漏洞提交……嗯，看樣子昨天搞到一兩點沒白熬。

 

到這裡，你應該知道我在幹嘛了。

這就是我周末的挖漏洞日常。和以往略有不同，雙11，平臺官方和商戶都會上線很多活動，在我們眼裡，它們是一個個新上線的「業務」，但凡業務就有流程和邏輯，開發人員犯下的每個小錯誤都是一道口子，這道口子要麼被黑產先發現，瘋狂獲利，然後普通人莫名其妙地怎麼也抽不中獎，領不到券；要麼先被我們白帽子黑客發現，然後補上，人們繼續領券、抽獎，購買快樂，剁手。

 

 

（二）

 

「10月份拿了三十多萬吧，三十幾萬記不清了，我算算哈……」

跟我聊著，hackbar真的開始折指頭算獎金，這個SRC 7萬，那個 8萬，那個6萬……算下來真的有二十多萬。雙十一之前的幾個月對他來說是豐收月。

 

除了漏洞獎金，SRC 也辦些鼓勵白帽子的活動，他也砍點小獎金和禮品。

 

「 比如上月螞蟻SRC 舉辦了個「城市挑戰賽」，按照城市組成幾人的小戰隊，挖漏洞最多和積分最多的隊伍能拿到20000元團建費，用於線下搞搞活動，吃吃喝喝什麼的，反正隨便花。」

 

10月20號那天，hackbar 發了條朋友圈，「上海的戰隊加油啊，各位兄弟，我一個人搞不過他們啊 」

那陣子上海隊分數領先，hackbar作為主戰挖掘機，以一己之力為隊伍貢獻了大多數漏洞，領先於其他五個地區的白帽子。

 

你為什麼這麼吊？我問他。他說，花精力多一些唄，加上運氣好。如果硬要說，那就是細心，為了挖到螞蟻金服的漏洞，我會針對性的把螞蟻金服旗下所有品牌信息全面收集，對一些域名下的服務信息、敏感接口格外注意。同時保持對漏洞的敏感性，不要停止思考。

 

他說有陣子挖了十多天也沒挖到嚴重漏洞，一次偶然機會，看到馬雲參加某會議的報導，馬雲說螞蟻金服未來將對某領域進行重大投入和發展，他想到了一定會有相關應用和業務發布，跟著找過去，果然找到了高危漏洞。

白帽子黑客 hackbar ↑

hackbar  所在的上海白帽戰隊的隊長 mi_xia（以下簡稱蝦米）在國內某知名網絡安全公司工作。這次的上海站的獲勝，有賴於給力的隊友周末加班加點，甚至通宵挖洞。

「自己這陣子忙於工作，雖然是隊長，但根本無暇挖漏洞，幾個月也就提交了一個。」

 

一邊從事正常工作，一邊利用業餘時間挖漏洞，這是白帽子的常態。

 

"也有全職挖漏洞的，比如某SRC排名第二的誰誰誰，除了寥寥幾個，其他大部分都在安全公司或甲方上班，這是我看到的。大部分是當興趣吧？」

 

我感到很困惑：像hackbar 那樣肯下功夫，一個月掙好幾萬獎金的，為啥不去做全職啊？正常工資開不了這麼高吧？

 

「可能覺得正常工作比較安穩？」蝦米也解釋不太清，「怎麼說呢？對我來說，如果一直埋頭挖漏洞，雖然賺到錢，但如果不去了解前沿技術，思維就會慢慢僵化，我們這行更新速度很快，跟不上的話很快就被超越甚至淘汰。」

不過似乎每個行業都是這麼個道理。

 

95年出生的蝦米，如今已經進入網絡安全行業5年。技術進階第一，掙錢第二是他當前的人生奧義。在工作時看到一些客戶的業務存在邏輯問題，會去仔細琢磨。會去了解新的安全防禦產品和技術，茶餘飯後和同事交流交流技術，在白帽子群裡聽大家吹吹牛逼。這是年輕白帽子們的常態。

 

（三）

 

我試圖問出一些好玩的挖漏洞情節。比如具體怎麼薅羊毛、怎麼百分之百中獎。不肯說，一個字也不肯說。

「挖私有SRC漏洞都是籤訂有保密協議的，我給你說了，哪怕看起來無關緊要的內容，也可能被利用上的。」

黑客們就是擅長利用一些看似無關緊要的信息關聯起來尋求突破。蝦米自然不願說，哪怕只是獎金額度也不太願透露。我只有繞著彎子問：「那漏洞本身可能彌補的損失是超過獎金數額的，對嗎？」

「當然，有些漏洞是沒法輕易用價值衡量的。」

 

hackbar 說了一些，但大抵和 SRC 官方公開的漏洞評定標準差不多。涉及具體的滲透測試流程，只是一語帶過，哪怕我追問，不說。

 

受人之事忠人所託，哪些能說，哪些絲毫不能，白帽子有自己的原則。我便不再追問。

但我印象當中的白帽子確實沒那麼謹慎。這大概和《網絡安全法》的頒布，以及近兩年圈裡發生的一些事有關。

hackbar 說他一般只挖私有SRC的漏洞，完整授權，完全合法。

現在 SRC 數量在爆發式增長，大公司都建立自己的安全應急響應中心了，直接對接來挖洞的白帽子。小公司資源有限，也可以和漏洞響應平臺合作來做相關業務。

「白帽子收益？錢還是不少的，優秀的白帽子資源畢竟有限，各家都願意用高額獎金和福利來吸引白帽子。」

之後還會有活動嗎？

有。

你還會參加嗎？

會。

你會考慮辭了職去專職挖漏洞嗎？

不會。

 

後記

 

無論在哪個時代，追求技術精進永遠是白帽黑客們的目標。《網絡安全法》的頒布，國內網絡安全配套設施的完善，讓他們有一條清晰的生存和成長之路，通過提交漏洞，得到應有回報。這樣的時代或許未必最好，但一定不壞。

 

Hackbar 告訴我，雙11參加完「城市挑戰賽」，他想休息幾天，準備挑個周末，挑戰一下螞蟻SRC為雙12準備的白帽子福利活動。

 

我調侃他，螞蟻SRC雙12給的福利也不少吧？他說是，但這也就意味著有更多黑產在背後蠢蠢欲動，無論對他或是其他白帽子，又是一次挑戰……

 

━━━━━

本文作者謝么，微信：dexter0