“白帽子”的網絡進化史

范英華

有時候，白帽子發現漏洞告訴企業之后，他們的態度不僅不積極，甚至抱有敵意

在

對阿里進行常規滲透測試時，“90后”白帽子何詣莘發現阿里云盾的搜索引擎存在未授權訪問漏洞。不過，這個漏洞危害不大，當他嘗試進一步測試有沒有其他漏洞時，發現阿里的安全人員已經發現了漏洞并修補了。這樣的漏洞查找對白帽子而言是家常便飯，徒勞無功也是常見的結果。

然而，今年4月12日，“白帽子”袁煒因涉嫌非法獲取計算機信息系統數據罪被批捕的事件，讓白帽子們措手不及，挖掘漏洞的法律爭議使得“白帽子”這個群體也越來越引發各界關注。

成為白帽子很普通

在網絡世界中，白帽子是一個“來無影，去無蹤”的存在。何詣莘說：“我挖掘企業的網站安全漏洞時，基本不會留下行跡。換言之，如果我不說，他們根本不知道我來過。”

另一名白帽子張坤向記者證實了這一點，“確實是這樣，企業通常不會發現我們對他們的網站進行了滲透測試。”張坤是何詣莘的朋友，在金融第三方從事安全工作的他也是一名兼職白帽子。

除去白帽子這個身份，何詣莘的職業是成都一家大型數據公司的專職網絡安全工程師，收入不菲，生活優渥。談及為何對網絡安全感興趣，并成為一名白帽子，何詣莘告訴《方圓》記者：“少年男孩，總有一顆想成為黑客的心，卻苦于不知如何入門，所以最初我并未關注網絡安全問題，若不是一次意外，我現在最可能是一名‘碼農。”

何詣莘口中的意外是某天在貼吧里看到某位大牛記錄自己的黑客生涯，“他的經歷看得我熱血沸騰，” 何詣莘崇拜地說，“當你看到一個牛人展示他的才華的時候，你就會想變得跟他一樣。”然而，他并未經過專業的網絡安全知識的學習，“我完全是野路子出身，我是從泡中國紅客聯盟開始學習安全知識的。” 何詣莘說。

然而，如今何詣莘在民間著名漏洞收集平臺漏洞盒子上卻是小有名氣，在排名榜上，他穩定在在二三十名之間，而漏洞盒子有近兩萬名的注冊白帽子。他曾經挖出某航空公司內網、江蘇十幾家銀行的安全漏洞，得到了這些廠商的致謝和不菲的獎勵。

張坤成為一名白帽子，完全是靠興趣。“我在大學的專業是網絡工程，但是早在大一的時候，我就對網絡安全產生了興趣。盡管二者都帶有‘網絡，但是卻是兩個不同的領域。”“在興趣的指引下，我大量地閱讀相關書籍，不斷地與人切磋交流，不斷地嘗試挖掘網站安全漏洞，剛開始的時候沒有任何收獲，直到有一天我挖掘出一個企業的安全漏洞，我才從心里認為自己真正成為了一名白帽子。”

何詣莘等大多數白帽子認為自己一點都不神秘。在他們看來，他們跟普通人并無差別，只是自身興趣愛好不同而已。

挖掘漏洞進化史：從手動到自動

何為網絡安全漏洞？北京郵電大學互聯網治理與法律研究中心常務副主任謝永江認為：計算機網絡、硬件、軟件、服務或者是管理存在弱點，這個弱點能夠被別人利用來進行攻擊，即為用來實施威脅的落點，就是網絡安全漏洞。

那么白帽子是如何挖掘漏洞的呢？

何詣莘告訴《方圓》記者他如何發現的第一個漏洞。那是一個越權漏洞，“我剛開始嘗試找漏洞的時候，并沒有確定要找哪些廠商的漏洞，只是通過搜索引擎搜索關鍵字，也就是‘撒網撈魚這種模式，通過在使用搜索引擎時的關鍵字設置（如搜索inurl：user_add.php，就可以查找存在身份驗證漏洞的網站），就可能會發現某些未做身份識別驗證的頁面，可以修改網站首頁顯示的新聞、圖片、管理員信息，可管理數據庫，甚至可以拿下網站服務器權限……我在搜索到頁面的第二、三頁的時候，就發現了這樣一個漏洞，當時心里非常激動，仿佛打開了通向新世界的大門，從此一發不可收拾。”

第一個漏洞讓何詣莘很欣喜，但是他并不否認這只是最初級的挖掘漏洞的模式。“現在挖掘漏洞，可以針對不同的功能進行手工測試。”張坤補充道。

與何詣莘、張坤靠自學成為白帽子不同，畢業于中北大學信息對抗專業的石濤成為一名白帽子是順理成章的事情，他是科班出身。他向記者介紹了一種自動的漏洞挖掘模式：白帽子利用自己寫的全自動化掃描程序，關注每天最新的廠商未發現的最新漏洞，然后把相應規則添加進自己寫的程序，填入域名，就可以自動掃描網站。之后，再把掃描出來的漏洞進行人工驗證。“這樣的漏洞挖掘模式效率是相當高的，也是很多業內高手的常用手法。”石濤說。

擁有挖掘漏洞能力的白帽子在確定挖掘哪些網站的漏洞時，帶有極強的個人色彩。

隨著技術的提高，何詣莘在查找漏洞時已經摒棄了“撒網撈魚”的原始模式，“現在確定挖掘目標，已經不是靠前期的關鍵字搜索了，有時是定點，比如說買機票的時候就會對航空公司的內網進行一個測試；有時是圈內朋友讓幫忙看看某個網站；有時是社會上的一些熱點現象涉及的網站；還有時是漏洞平臺的一些眾測項目。”而他有時一天就發現幾個漏洞，有時發現一些大型目標，他會認真研究，那時可能就一兩個月都沒發現漏洞。

身為某互聯網公司開發工程師的石濤在挖掘漏洞時，主要是偏重于互聯網企業，“身為一名IT開發工程師，相對于其他企業，我對互聯網企業會有更多的關注。” 石濤告訴《方圓》記者。

不同于何詣莘和石濤，張坤確定自己的挖掘目標就容易多了，“我主要去一些有SRC（安全應急響應中心）的企業那里找漏洞，或者是一些在漏洞收集平臺注冊過的企業。”

挖了漏洞給誰

白帽子挖掘出安全漏洞后，怎樣處置這些漏洞？事實上，官方與民間有很多漏洞披露平臺可供白帽子選擇。而選擇哪一種，不同的白帽子選擇各異。

據國家互聯網應急中心運行部副主任、正高級工程師嚴寒冰介紹：自從2009年以后，多家漏洞平臺陸陸續續地成立，這些漏洞報告平臺擔負著搜集漏洞、處置漏洞相關任務。國家層面成立的漏洞平臺有CNVD、CNNNVD；民間漏洞平臺有補天平臺、烏云網、漏洞盒子等；另外有一些企業成立了自己的安全應急響應中心（SRC），建立了企業與白帽子之間的直接溝通渠道，比如百度、阿里、騰訊、網易、京東等等。

何詣莘挖掘的漏洞大多在漏洞盒子提交，“跟漏洞盒子的人比較熟”是他選擇漏洞盒子的最重要的因素，“但是，我還是更喜歡烏云的模式，因為‘白帽子崇尚共享，而烏云網是一個很好的共享平臺，它是很多‘白帽子學習進步的好地方，在那里可以學習到很多挖掘漏洞的技術和思路，會讓人腦洞大開。”

因為張坤主要去一些有SRC的企業挖掘漏洞，所以他挖掘出來的漏洞可以直接提交給企業，相當高效快捷。

石濤挖掘的漏洞主要提交給烏云網，烏云網會給烏云幣以及烏云排名成績作為獎勵，利用烏云幣可以參看受限的內容，買安全會議的門票，這有利于他的技術的提高。烏云排名更是實力的體現，排名對白帽子是一種榮譽的體現，“排名高在圈子里會受尊重，找工作也能當成能力佐證。”石濤很看重rank值的高低。

白帽子根據自己的喜好選擇相應的平臺，不同平臺的特色亦有不同。與烏云網逐步公開漏洞細節不同，補天漏洞收集平臺在漏洞細節的公布策略上較為靈活。補天漏洞收集平臺是隸屬于360公司的漏洞收集平臺。補天負責人告訴《方圓》記者，平臺提供公有SRC和私有SRC兩種公益的服務模式。公有SRC是漏洞招領模式的互聯網安全協作平臺，當白帽子上交漏洞后，補天會進行審核，確認后會嘗試聯系企業，當聯系不上時，會在網站上進行漏洞招領，招領時只公布漏洞標題，不會公布細節。企業只要免費注冊就能認領漏洞，并得到漏洞的詳情和修復建議。而補天私有SRC是為企業提供自建SRC服務的互聯網安全協作平臺，企業在線充值后可以自助發布漏洞征集公告，白帽子提交的漏洞由360仲裁并被企業確認后，由企業發放獎金給白帽子。

也有企業不重視提交的漏洞

由于經常挖掘安全漏洞，談及漏洞的危害，何詣莘深有體會：“一些使用開放源代碼建立的網站或者網站安全防護設備的漏洞可以用來攻擊一批網站。因為這些網站的搭建用的是同樣的系統，只是由于界面有定制，所以表面看起來不一樣。但是一旦發現這種系統的漏洞，就能影響一批網站，可能導致的危害就是用戶信息被盜取，舉個例子，如果是金融系統的漏洞的話，就能修改銀行或者P2P金融系統中用戶金額這樣的敏感信息。”

“好在金融系統的安全意識比較強。”何詣莘介紹，他發現銀聯等企業的漏洞并且提交后，這些企業很快進行了修復，“還對我表示了感謝。”

但是，并非所有的企業面對漏洞的態度都是這么積極，“有時候我們白帽子發現漏洞，告訴企業之后，他們的態度相當不積極，有時甚至可以說對我們有敵意，可能這些企業認為，我們白帽子不發現漏洞、不提交漏洞，他們就可以自欺欺人地認為漏洞不存在，事實上，毫不夸張地說，一旦漏洞被某些居心叵測的人利用，就可能會造成大范圍的數據泄露，危害用戶的數據安全，嚴重的可能會造成重大金錢損失。”何詣莘對此很無奈，但是他坦承對此也是“束手無策”。

由于法律上對白帽子的行為尚無明確的界限，為了規避法律風險，他的底線是“不竊取數據、不擅自修復漏洞、不影響網站業務”，他直言：“我從沒把自己當成拯救網絡風險的英雄，發掘、查找漏洞是我的興趣所在，但是我絕不會為了某網站用戶數據不泄露，而擅自去修復漏洞，因為這樣會觸犯法律。”

石濤曾經挖掘出花瓣、人人、美團、歐美斯教育等企業的安全漏洞，據他介紹，歐美斯教育的那個安全漏洞危害極大，這個漏洞基本上暴露了公司內部的全部信息，例如公司員工信息、公司高管郵箱，更夸張的是公司高管的內部系統的密碼跟郵箱密碼是同一個密碼，這樣公司面臨的風險極大，一旦密碼被泄露，公司的商業機密很有可能被竊取。而花瓣網的漏洞更為嚴重，不法分子可以冒充任意用戶登錄，登錄之后，用戶在花瓣網上的隱私就全部被竊取。

安全漏洞危害如此之大，挖掘漏洞的白帽子也處于“是否盜竊數據”的質疑中。趙占領認為，白帽子對于網絡安全的維護是必不可少的力量。白帽子利用自己的專業技術特長、結合興趣愛好，主動尋找網站存在的安全漏洞，發現后不是利用漏洞從事破壞活動，或者用于營利等非法目的，而是幫助網站及時發現漏洞、修復漏洞、以防給企業或用戶造成嚴重損失，這對網站具有積極的建設性作用。另外，白帽子與“黑帽子”的界限原本就不是那么清晰，不少白帽子是從“黑帽子”轉變而來，國內的漏洞披露平臺給白帽子更多獲得尊重甚至合法收入的機會，如果沒有這種平臺或者對白帽子的漏洞檢測行為持打擊態度，白帽子的價值不被認可，他們就有可能再轉做“黑帽子”，這對國內網站的信息安全將構成嚴重的威脅。再者，不管是否存在白帽子，網站的漏洞都客觀存在，白帽子的存在可以幫助網站發現漏洞，及時修復漏洞，沒有白帽子，這些漏洞可能不被網站發現而被“黑帽子”發現并惡意利用。

“法律如果能夠明確規定‘白帽子的行為界限，這對我們是好事。這樣我們可以確保自己在法律范圍內行事，而不必時時面臨不確定的風險。”何詣莘如是說。這也是很多白帽子的心聲。