有些天,人们总抽不到奖,领不到券,以为运气不好,不知数十万“撸货大军”正在疯狂汇聚、大肆抢夺优惠券、秒杀特价货物,大量"返利、促销“瞬间消耗殆尽,日入十万,盆满钵满。
今天我们要说的不是黑产,而是与之抗衡的白帽黑客力量。双11,这帮“漏洞猎手”们也开始利用漏洞赚钱。不过方式和黑产截然相反。
(一)
“有人要送我台 iPhone 8,没要”
白帽子黑客 hackbar 视角。
双十一前的一个周五,下班回家,我和大部分妹子们一样,盯着屏幕,搜寻着优惠活动。旋即,一个商户的抽奖活动页面落入我眼中,隐约感觉自己会中奖,有点小激动。
我的抽法和平常人不太一样。不少人觉得网上抽奖都是骗人的,根本抽不中。其实不仅能抽中,而且还能百发百中。要啥有啥。
我瞪大双眼盯着电脑屏幕,脑中浮现的是方块和线条组成的逻辑框图,那是抽奖页面背后的业务流程逻辑。随着每一个新线索的出现,它们时而拉长,延展,直到最后触及目的地,一台 iPhone 8。
我动用了一些计算机基础知识……
睡醒时已经是早上11点了,吵醒我的是一通电话,对方跟我要地址,说我中奖了,要是把 iPhone 8 寄过来。我没给。
挂了电话,径直登录SRC(安全应急响应中心)的网页,点击漏洞提交……嗯,看样子昨天搞到一两点没白熬。
到这里,你应该知道我在干嘛了。
这就是我周末的挖漏洞日常。和以往略有不同,双11,平台官方和商户都会上线很多活动,在我们眼里,它们是一个个新上线的“业务”,但凡业务就有流程和逻辑,开发人员犯下的每个小错误都是一道口子,这道口子要么被黑产先发现,疯狂获利,然后普通人莫名其妙地怎么也抽不中奖,领不到券;要么先被我们白帽子黑客发现,然后补上,人们继续领券、抽奖,购买快乐,剁手。
(二)
“10月份拿了三十多万吧,三十几万记不清了,我算算哈……”
跟我聊着,hackbar 真的开始折指头算奖金,这个SRC 7万,那个 8万,那个6万……算下来真的有二十多万。双十一之前的几个月对他来说是丰收月。
除了漏洞奖金,SRC 也办些鼓励白帽子的活动, 他也砍点小奖金和礼品。
“ 比如上月蚂蚁SRC 举办了个「城市挑战赛」,按照城市组成几人的小战队,挖漏洞最多和积分最多的队伍能拿到20000元团建费,用于线下搞搞活动,吃吃喝喝什么的,反正随便花。”
10月20号那天,hackbar 发了条朋友圈,“上海的战队加油啊,各位兄弟,我一个人搞不过他们啊 ”
那阵子上海队分数领先,hackbar 作为主战挖掘机,以一己之力为队伍贡献了大多数漏洞,领先于其他五个地区的白帽子。
你为什么这么吊?我问他。他说,就是花的精力多一些呗,加上运气比较好。如果硬要说,那就是细心,为了挖到蚂蚁金服的漏洞,我会针对性的把蚂蚁金服旗下所有品牌信息全面收集,对一些域名下的服务信息、敏感接口格外注意。同时保持对漏洞的敏感性,不要停止思考。
他说有阵子挖了十多天也没挖到严重漏洞,一次偶然机会,看到马云参加某会议的报道,马云说蚂蚁金服未来将对某领域进行重大投入和发展,他想到了一定会有相关应用和业务发布,跟着找过去,果然找到了高危漏洞。
白帽子黑客 hackbar ↑
hackbar 所在的上海白帽战队的队长 mi_xia(以下简称虾米)在国内某知名网络安全公司工作。这次的上海站的获胜,有赖于给力的队友周末加班加点,甚至通宵挖洞。
“自己这阵子忙于工作,虽然是队长,但根本无暇挖漏洞,几个月也就提交了一个。”
一边从事正常工作,一边利用业余时间挖漏洞,这是白帽子的常态。
"也有全职挖漏洞的,比如某SRC排名第二的谁谁谁,除了寥寥几个,其他大部分都在安全公司或甲方上班,这是我看到的。大部分是当兴趣吧?”
我感到很困惑:像 hackbar 那样肯下功夫,一个月挣好几万奖金的,为啥不去做全职啊?正常工资开不了这么高吧?
“可能觉得正常工作比较安稳?”虾米也解释不太清,“怎么说呢?对我来说,如果一直埋头挖漏洞,虽然赚到钱,但如果不去了解前沿技术,思维就会慢慢僵化,我们这行更新速度很快,跟不上的话很快就被超越甚至淘汰。”
不过似乎每个行业都是这么个道理。
95年出生的虾米,如今已经进入网络安全行业5年。技术进阶第一,挣钱第二是他当前的人生奥义。在工作时看到一些客户的业务存在逻辑问题,会去仔细琢磨。会去了解新的安全防御产品和技术,茶余饭后和同事交流交流技术,在白帽子群里听大家吹吹牛逼。这是年轻白帽子们的常态。
(三)
我试图问出一些好玩的挖漏洞情节。比如具体怎么薅羊毛、怎么百分之百中奖。不肯说,一个字也不肯说。
“挖私有SRC漏洞都是签订有保密协议的,我给你说了,哪怕看起来无关紧要的内容,也可能被利用上的。”
黑客们就是擅长利用一些看似无关紧要的信息关联起来寻求突破。虾米自然不愿说,哪怕只是奖金额度也不太愿透露。我只有绕着弯子问:“那漏洞本身可能弥补的损失是超过奖金数额的,对吗?”
“当然,有些漏洞是没法轻易用价值衡量的。”
hackbar 说了一些,但大抵和 SRC 官方公开的漏洞评定标准差不多。涉及具体的渗透测试流程,只是一语带过,哪怕我追问,不说。
受人之事忠人所托,哪些能说,哪些丝毫不能,白帽子有自己的原则。我便不再追问。
但我印象当中的白帽子确实没那么谨慎。这大概和《网络安全法》的颁布,以及近两年圈里发生的一些事有关。
hackbar 说他一般只挖私有SRC的漏洞,完整授权,完全合法。
现在 SRC 数量在爆发式增长,大公司都建立自己的安全应急响应中心了,直接对接来挖洞的白帽子。小公司资源有限,也可以和漏洞响应平台合作来做相关业务。
“白帽子收益?钱还是不少的,优秀的白帽子资源毕竟有限,各家都愿意用高额奖金和福利来吸引白帽子。”
之后还会有活动吗?
有。
你还会参加吗?
会。
你会考虑辞了职去专职挖漏洞吗?
不会。
后记
无论在哪个时代,追求技术精进永远是白帽黑客们的目标。《网络安全法》的颁布,国内网络安全配套设施的完善,让他们有一条清晰的生存和成长之路,通过提交漏洞,得到应有回报。这样的时代或许未必最好,但一定不坏。
Hackbar 告诉我,双11参加完“城市挑战赛”,他想休息几天,准备挑个周末,挑战一下蚂蚁SRC为双12准备的白帽子福利活动。
我调侃他,蚂蚁SRC双12给的福利也不少吧?他说是,但这也就意味着有更多黑产在背后蠢蠢欲动,无论对他或是其他白帽子,又是一次挑战……
本文作者:木子
本文转自雷锋网禁止二次转载,原文链接