“白帽子”的网络进化史

范英华

有时候，白帽子发现漏洞告诉企业之后，他们的态度不仅不积极，甚至抱有敌意

在

对阿里进行常规渗透测试时，“90后”白帽子何诣莘发现阿里云盾的搜索引擎存在未授权访问漏洞。不过，这个漏洞危害不大，当他尝试进一步测试有没有其他漏洞时，发现阿里的安全人员已经发现了漏洞并修补了。这样的漏洞查找对白帽子而言是家常便饭，徒劳无功也是常见的结果。

然而，今年4月12日，“白帽子”袁炜因涉嫌非法获取计算机信息系统数据罪被批捕的事件，让白帽子们措手不及，挖掘漏洞的法律争议使得“白帽子”这个群体也越来越引发各界关注。

成为白帽子很普通

在网络世界中，白帽子是一个“来无影，去无踪”的存在。何诣莘说：“我挖掘企业的网站安全漏洞时，基本不会留下行迹。换言之，如果我不说，他们根本不知道我来过。”

另一名白帽子张坤向记者证实了这一点，“确实是这样，企业通常不会发现我们对他们的网站进行了渗透测试。”张坤是何诣莘的朋友，在金融第三方从事安全工作的他也是一名兼职白帽子。

除去白帽子这个身份，何诣莘的职业是成都一家大型数据公司的专职网络安全工程师，收入不菲，生活优渥。谈及为何对网络安全感兴趣，并成为一名白帽子，何诣莘告诉《方圆》记者：“少年男孩，总有一颗想成为黑客的心，却苦于不知如何入门，所以最初我并未关注网络安全问题，若不是一次意外，我现在最可能是一名‘码农。”

何诣莘口中的意外是某天在贴吧里看到某位大牛记录自己的黑客生涯，“他的经历看得我热血沸腾，” 何诣莘崇拜地说，“当你看到一个牛人展示他的才华的时候，你就会想变得跟他一样。”然而，他并未经过专业的网络安全知识的学习，“我完全是野路子出身，我是从泡中国红客联盟开始学习安全知识的。” 何诣莘说。

然而，如今何诣莘在民间著名漏洞收集平台漏洞盒子上却是小有名气，在排名榜上，他稳定在在二三十名之间，而漏洞盒子有近两万名的注册白帽子。他曾经挖出某航空公司内网、江苏十几家银行的安全漏洞，得到了这些厂商的致谢和不菲的奖励。

张坤成为一名白帽子，完全是靠兴趣。“我在大学的专业是网络工程，但是早在大一的时候，我就对网络安全产生了兴趣。尽管二者都带有‘网络，但是却是两个不同的领域。”“在兴趣的指引下，我大量地阅读相关书籍，不断地与人切磋交流，不断地尝试挖掘网站安全漏洞，刚开始的时候没有任何收获，直到有一天我挖掘出一个企业的安全漏洞，我才从心里认为自己真正成为了一名白帽子。”

何诣莘等大多数白帽子认为自己一点都不神秘。在他们看来，他们跟普通人并无差别，只是自身兴趣爱好不同而已。

挖掘漏洞进化史：从手动到自动

何为网络安全漏洞？北京邮电大学互联网治理与法律研究中心常务副主任谢永江认为：计算机网络、硬件、软件、服务或者是管理存在弱点，这个弱点能够被别人利用来进行攻击，即为用来实施威胁的落点，就是网络安全漏洞。

那么白帽子是如何挖掘漏洞的呢？

何诣莘告诉《方圆》记者他如何发现的第一个漏洞。那是一个越权漏洞，“我刚开始尝试找漏洞的时候，并没有确定要找哪些厂商的漏洞，只是通过搜索引擎搜索关键字，也就是‘撒网捞鱼这种模式，通过在使用搜索引擎时的关键字设置（如搜索inurl：user_add.php，就可以查找存在身份验证漏洞的网站），就可能会发现某些未做身份识别验证的页面，可以修改网站首页显示的新闻、图片、管理员信息，可管理数据库，甚至可以拿下网站服务器权限……我在搜索到页面的第二、三页的时候，就发现了这样一个漏洞，当时心里非常激动，仿佛打开了通向新世界的大门，从此一发不可收拾。”

第一个漏洞让何诣莘很欣喜，但是他并不否认这只是最初级的挖掘漏洞的模式。“现在挖掘漏洞，可以针对不同的功能进行手工测试。”张坤补充道。

与何诣莘、张坤靠自学成为白帽子不同，毕业于中北大学信息对抗专业的石涛成为一名白帽子是顺理成章的事情，他是科班出身。他向记者介绍了一种自动的漏洞挖掘模式：白帽子利用自己写的全自动化扫描程序，关注每天最新的厂商未发现的最新漏洞，然后把相应规则添加进自己写的程序，填入域名，就可以自动扫描网站。之后，再把扫描出来的漏洞进行人工验证。“这样的漏洞挖掘模式效率是相当高的，也是很多业内高手的常用手法。”石涛说。

拥有挖掘漏洞能力的白帽子在确定挖掘哪些网站的漏洞时，带有极强的个人色彩。

随着技术的提高，何诣莘在查找漏洞时已经摒弃了“撒网捞鱼”的原始模式，“现在确定挖掘目标，已经不是靠前期的关键字搜索了，有时是定点，比如说买机票的时候就会对航空公司的内网进行一个测试；有时是圈内朋友让帮忙看看某个网站；有时是社会上的一些热点现象涉及的网站；还有时是漏洞平台的一些众测项目。”而他有时一天就发现几个漏洞，有时发现一些大型目标，他会认真研究，那时可能就一两个月都没发现漏洞。

身为某互联网公司开发工程师的石涛在挖掘漏洞时，主要是偏重于互联网企业，“身为一名IT开发工程师，相对于其他企业，我对互联网企业会有更多的关注。” 石涛告诉《方圆》记者。

不同于何诣莘和石涛，张坤确定自己的挖掘目标就容易多了，“我主要去一些有SRC（安全应急响应中心）的企业那里找漏洞，或者是一些在漏洞收集平台注册过的企业。”

挖了漏洞给谁

白帽子挖掘出安全漏洞后，怎样处置这些漏洞？事实上，官方与民间有很多漏洞披露平台可供白帽子选择。而选择哪一种，不同的白帽子选择各异。

据国家互联网应急中心运行部副主任、正高级工程师严寒冰介绍：自从2009年以后，多家漏洞平台陆陆续续地成立，这些漏洞报告平台担负着搜集漏洞、处置漏洞相关任务。国家层面成立的漏洞平台有CNVD、CNNNVD；民间漏洞平台有补天平台、乌云网、漏洞盒子等；另外有一些企业成立了自己的安全应急响应中心（SRC），建立了企业与白帽子之间的直接沟通渠道，比如百度、阿里、腾讯、网易、京东等等。

何诣莘挖掘的漏洞大多在漏洞盒子提交，“跟漏洞盒子的人比较熟”是他选择漏洞盒子的最重要的因素，“但是，我还是更喜欢乌云的模式，因为‘白帽子崇尚共享，而乌云网是一个很好的共享平台，它是很多‘白帽子学习进步的好地方，在那里可以学习到很多挖掘漏洞的技术和思路，会让人脑洞大开。”

因为张坤主要去一些有SRC的企业挖掘漏洞，所以他挖掘出来的漏洞可以直接提交给企业，相当高效快捷。

石涛挖掘的漏洞主要提交给乌云网，乌云网会给乌云币以及乌云排名成绩作为奖励，利用乌云币可以参看受限的内容，买安全会议的门票，这有利于他的技术的提高。乌云排名更是实力的体现，排名对白帽子是一种荣誉的体现，“排名高在圈子里会受尊重，找工作也能当成能力佐证。”石涛很看重rank值的高低。

白帽子根据自己的喜好选择相应的平台，不同平台的特色亦有不同。与乌云网逐步公开漏洞细节不同，补天漏洞收集平台在漏洞细节的公布策略上较为灵活。补天漏洞收集平台是隶属于360公司的漏洞收集平台。补天负责人告诉《方圆》记者，平台提供公有SRC和私有SRC两种公益的服务模式。公有SRC是漏洞招领模式的互联网安全协作平台，当白帽子上交漏洞后，补天会进行审核，确认后会尝试联系企业，当联系不上时，会在网站上进行漏洞招领，招领时只公布漏洞标题，不会公布细节。企业只要免费注册就能认领漏洞，并得到漏洞的详情和修复建议。而补天私有SRC是为企业提供自建SRC服务的互联网安全协作平台，企业在线充值后可以自助发布漏洞征集公告，白帽子提交的漏洞由360仲裁并被企业确认后，由企业发放奖金给白帽子。

也有企业不重视提交的漏洞

由于经常挖掘安全漏洞，谈及漏洞的危害，何诣莘深有体会：“一些使用开放源代码建立的网站或者网站安全防护设备的漏洞可以用来攻击一批网站。因为这些网站的搭建用的是同样的系统，只是由于界面有定制，所以表面看起来不一样。但是一旦发现这种系统的漏洞，就能影响一批网站，可能导致的危害就是用户信息被盗取，举个例子，如果是金融系统的漏洞的话，就能修改银行或者P2P金融系统中用户金额这样的敏感信息。”

“好在金融系统的安全意识比较强。”何诣莘介绍，他发现银联等企业的漏洞并且提交后，这些企业很快进行了修复，“还对我表示了感谢。”

但是，并非所有的企业面对漏洞的态度都是这么积极，“有时候我们白帽子发现漏洞，告诉企业之后，他们的态度相当不积极，有时甚至可以说对我们有敌意，可能这些企业认为，我们白帽子不发现漏洞、不提交漏洞，他们就可以自欺欺人地认为漏洞不存在，事实上，毫不夸张地说，一旦漏洞被某些居心叵测的人利用，就可能会造成大范围的数据泄露，危害用户的数据安全，严重的可能会造成重大金钱损失。”何诣莘对此很无奈，但是他坦承对此也是“束手无策”。

由于法律上对白帽子的行为尚无明确的界限，为了规避法律风险，他的底线是“不窃取数据、不擅自修复漏洞、不影响网站业务”，他直言：“我从没把自己当成拯救网络风险的英雄，发掘、查找漏洞是我的兴趣所在，但是我绝不会为了某网站用户数据不泄露，而擅自去修复漏洞，因为这样会触犯法律。”

石涛曾经挖掘出花瓣、人人、美团、欧美斯教育等企业的安全漏洞，据他介绍，欧美斯教育的那个安全漏洞危害极大，这个漏洞基本上暴露了公司内部的全部信息，例如公司员工信息、公司高管邮箱，更夸张的是公司高管的内部系统的密码跟邮箱密码是同一个密码，这样公司面临的风险极大，一旦密码被泄露，公司的商业机密很有可能被窃取。而花瓣网的漏洞更为严重，不法分子可以冒充任意用户登录，登录之后，用户在花瓣网上的隐私就全部被窃取。

安全漏洞危害如此之大，挖掘漏洞的白帽子也处于“是否盗窃数据”的质疑中。赵占领认为，白帽子对于网络安全的维护是必不可少的力量。白帽子利用自己的专业技术特长、结合兴趣爱好，主动寻找网站存在的安全漏洞，发现后不是利用漏洞从事破坏活动，或者用于营利等非法目的，而是帮助网站及时发现漏洞、修复漏洞、以防给企业或用户造成严重损失，这对网站具有积极的建设性作用。另外，白帽子与“黑帽子”的界限原本就不是那么清晰，不少白帽子是从“黑帽子”转变而来，国内的漏洞披露平台给白帽子更多获得尊重甚至合法收入的机会，如果没有这种平台或者对白帽子的漏洞检测行为持打击态度，白帽子的价值不被认可，他们就有可能再转做“黑帽子”，这对国内网站的信息安全将构成严重的威胁。再者，不管是否存在白帽子，网站的漏洞都客观存在，白帽子的存在可以帮助网站发现漏洞，及时修复漏洞，没有白帽子，这些漏洞可能不被网站发现而被“黑帽子”发现并恶意利用。

“法律如果能够明确规定‘白帽子的行为界限，这对我们是好事。这样我们可以确保自己在法律范围内行事，而不必时时面临不确定的风险。”何诣莘如是说。这也是很多白帽子的心声。