最近看到篇關於國外的漏洞獵人的報導,引發大家關於國內白帽子的現狀的思考。
今天就來聊一聊國內白帽子的生存現狀。
先給大家介紹一下什麼叫白帽子?
白帽子也叫白帽黑客,指的是通過自己的技術挖掘發現計算機系統或網絡系統中存在的安全漏洞,但是不會惡意利用漏洞做入侵破壞獲取利益,而是提交給漏洞平臺或廠商,讓廠商可以在漏洞被黑客惡意利用之前對漏洞進行修復,維護系統的安全。所以白帽子是一群有道德意識的黑客。
既然有白帽黑客,肯定也有黑帽。這個我留到下篇文章再給介紹一下關於黑客的分類,先回到正題。
國內白帽子的「生存」狀況還是比較艱難的,原因有以下幾點。
1.首先,想要挖漏洞就需要消耗大量的精力跟時間去研究漏洞,要學習各種知識,閱讀各種文檔,收集各種信息,還要熟練工具的使用甚至編寫自己的工具。上述這些都要拿出太多的時間來完成,不光是時間跟精力,還要有毅力能堅持下去。但是問題來了,有這麼多的時間為什麼不去賺錢呢?
2.第二點要講的就是付出與回報,上面我說了挖漏洞要消耗大量的時間和精力,有這些時間不如去賺錢,有人可能會想,提交漏洞沒有報酬麼?提交漏洞確實有報酬,但是報酬跟國外比確實有些低,根本不夠養活自己。這裡就不說現金獎勵了,因為能拿到現金獎勵的漏洞不是那麼好挖的,大多數漏洞是以論壇幣的形式來發放。就是說你發現了一個漏洞提交給漏洞平臺,審核通過了漏洞確認存在,一般的漏洞會獎勵你幾個論壇幣,論壇幣可以到商城兌換日常用品、家用電器、數碼產品之類的東西,論壇幣跟現金的比率大概就是1:5,看著很多是吧,那你覺得一個漏洞那麼好挖的麼,你花了幾個小時或一天甚至一周挖了一個漏洞,獎勵給了你2個論壇幣換算一下也就是10塊錢左右。挖漏洞一天10塊,你找份工作一天多少錢?
3.最後就是現在的廠商的態度,我聽說過太多白帽子辛苦挖了漏洞,好心提交給相關廠商然後惹來麻煩的事情。還有的廠商你提交了漏洞給他,廠商自己偷摸修復了然後不承認存在漏洞。有些碰到政府的網站存在漏洞也不敢提交,因為怕惹上事端,都是本著多一事不如少一事的原則。這些情況說明了白帽子得不到認可,和機制的不健全。吃力又不討好事情,能有多少人會堅持下去。
所以現在的環境就是,白帽子得不到認可,沒有精力全身心地投入到這個行業,只能做個兼職,付出與回報也不成正比。所以大多數人都選擇了加入安全公司,選擇一份穩定的工作。選擇全職的基本沒有,但也不能說一個沒有,畢竟還是有神仙存在的。
最後貼一張圖,我前幾年在提交漏洞兌換的東西。