作者:hacker发布时间:2022-07-17分类:黑客技术浏览:147评论:2
【张小冲的回答(121票)】:我是乌云的创始人,我来回答下吧,我们最开始做乌云的目的很简单,因为我当时负责百度的安全,但是我们根本无法对老板回答我们是不是做安全了,什么是安全,根本原因是这个行业的封闭,无论是老板还是用户对安全都不了解,开发的人说安全是这个样子,运维的人说安全应该这么搞,老板说咱们安全很好啊一年到头没有安全事件,老板又说了没有安全事件你们这些屌丝天天都在做什么,而且也发生过很多安全公司利用用很小的安全漏洞来敲诈企业说你这里有个很严重的问题,老板不懂也许一下子就买单了,更不用说由于攻击者和防御者的信息不对称带来的信息壁垒问题了是的,最开始的原因是为了我们自己工作的原因和让我们身边朋友和老板对我们工作的了解来做这个事情,后来我们发现带来的收益更大,我们让安全研究人员通过这个平台能够学习到其他人的技术和技能,我们让安全研究人员能互相认识能够展示自己获得更高的荣誉和工作机会,我们让所有企业知道所有最新的安全漏洞状态,我们也同样让更多的普通用户了解企业如果不做好安全可能给用户带来的信息安全威胁于是我们帮助行业完成了一个正向的循环,白帽子发现和报告安全问题,企业修复并披露安全问题,用户了解信息安全从而对企业提出信息安全要求,企业加强信息安全建设和提升白帽子价值,更多的白帽子学习和加入到这个过程我很难去说乌云上所有的人都有什么心理,但是我们一直在往这个方向引导,我自己也是乌云上的白帽子一员,我个人的驱动力是,我已经有一份稳定的工作,我爱好安全而又没有任何压力驱使我使用我的技术去谋取非法利益,我能够以正确的渠道展示自己,我能够得到除了腾讯这种封闭企业之外的企业认可,我也可以参与到乌云开展的各项活动,我能够认识到优秀的人和他们交流获得提升,这就是我在乌云能够得到的没有在乌云过漏洞的筒子就不会体验到这种让人开心的感觉啦 :)【大风的回答(24票)】:白帽子是不黑网站的。严格来说,未经授权而进行的渗透测试都属于耍流氓,根据渗透的深浅程度而判定流氓的大小程度。好吧,根据以上定义一棒子打死了好多人,肯定很多人因为被冒犯而不高兴。那我就不抬杠了,题主指的这种情况,如果没有拖库的话(根据实际情况判断,比如日志分析或者是和白帽子交涉),可以不给用户发告警提醒。如果有被拖库的风险的话,本着对用户负责的态度,应该告知用户风险,并考虑强制用户登录后修改密码。另外,白帽子愿意报告漏洞给你,避免了被黑客利用该漏洞的风险,所以要好吃好喝伺候好了,别尝试做出会激怒所有白帽子的行为,他不是一个人在战斗。【知乎用户的回答(2票)】:根据《三体》中黑暗森林理论,当你不了解这个所谓的白帽子时,就应该把自身的安全做好,说不定白帽子刚好一不小心脱了你裤,如果你不找条新裤子穿上,那你在他面前就只剩下菊花了【eagle black的回答(3票)】:首先推荐大家看@大风写的《白帽子讲web安全》一书,P6就有关于“黑帽子”“白帽子”的详解。言简意赅的说:称职白帽子就是通过网络安全专业技术去钻研、挖掘计算机、网络系统漏洞的人。但是他/她们不会去做任何的破坏,同时会告知管理员漏洞内容及修复方案。(因目前少部分白帽子的某种行为不当 所以前面加了“称职”二字)白帽子一般通过以下四种方式去提交漏洞:1、通过自己去联系网站管理人员提交(虽然比较繁琐 但是鄙人还是比较欣赏这种方式)2、通过国家信息安全漏洞共享平台提交3、通过官方的漏洞平台(如:腾讯的腾讯安全应急响应中心)4、通过第三方漏洞提交平台(如:WooYun.org | 自由平等开放的漏洞报告平台)个人觉得,大家可以把白帽子可以理解为比较正义的黑客。【知乎用户的回答(0票)】:好吧,白帽子告诉了你站点哪里出问题了,你有证据显示信息泄露范围就是白帽干的而不是另一路人马干的?其实做甲方能多做一点感谢白帽就很不错了。白帽冒着被请喝茶的风险还告诉你问题所在,这是啥马样的精神?共产国际主义也不过如此吧。责任鉴定问题,查下服务器日志,查下数据库执行的语句,看看是否被人劫了,如果没有,该做的事做一遍。该感谢的要感谢。如果是被劫了,看损失估计,如果没有涉及太大就算了,其实大多数都是如此。。说到改密码,那就得看密码是如何泄露的,如果数据库加密的话看看是否是弱口令或网络嗅探上出问题,至少总查的出来吧,看泄露哪些用户,再让别人改,本身有些弱口令就是被撞库出来的。总让用户改密码很蛋疼的。【知乎用户的回答(0票)】:白帽子大概就是为了技术而技术,而黑帽子就大多是为了利益。面对利益,说一点不动心是不可能的。
白帽黑客:一般来说,白帽是指安全研究人员或者从事网络和计算机技术防御的人员。在发现软件漏洞后,他们通常会将这些漏洞报告给供应商,以便供应商可以立即发布漏洞补丁。白帽通常被大公司雇佣,他们是维护世界网络和计算机安全的重要力量。模拟黑客对产品的攻击来测试产品的可靠性,也就是业内所说的渗透测试服务。
灰帽黑客:灰帽是指那些知道技术防御原理,有实力突破这些防御的黑客。灰帽在黑帽和白帽之间的中间区域。他们不向罪犯出售零日漏洞信息,但向政府、执法机构、情报机构、或者军方出售零日漏洞信息。然后,政府会利用这些安全漏洞闯入对手或者嫌疑人的系统。一般来说,灰帽的技术实力往往超过白帽和黑帽。人们常常把黑客行为看作是一种嗜好或者是义务,希望通过自己的黑客行为来警醒某些网络或者系统的漏洞,从而达到警醒的目的。
黑帽黑客:说白了就是利用技术专门利用木马病毒攻击网站和服务器以及操作系统,寻找漏洞,以个人意志为出发点,对网络或者电脑用户进行恶意攻击的黑客。通常指犯罪分子,他们利用自己的力量发现或开发软件漏洞和攻击,或开发其他恶意工具入侵用户机器窃取数据,如密码、电子邮件、知识产权、信用卡号或者银行账户凭据。
其实我们从名字就可以看出,黑客肯定是不干一些好的事情的。他们忘了会进入一些比较机密的平台当中盗取一些信息,并且会将这些信息高价售卖出去。甚至有时候也会免费的公布在一些社交媒体之上,从而导致这些机密信息被外界得知。而一般情况下,很多重要的事项都会存在着很多的秘密,他们并不想要被外人所知。所以这一次东京奥组委才培养了220名白帽黑客。对于这件事情,网友们也是议论纷纷。那么接下来跟大家分享一下,黑客一般都会做哪些事情?
第一,黑客的主要工作并不是入侵。
可能很多人一谈到黑客就会想到拿着一台电脑,黑客就可以轻易的入侵任何一个网络结构。但其实这样的场景只能出现在电影当中。一般情况下,黑客虽然会单打独斗,但是想要依靠自身的能力去入侵一个系统,特别是安保等级非常高的系统是非常困难的,所以黑客有时候也是需要团队作战的。主要工作并不是去入侵那些系统,他们主要就是在研究一些网络上的漏洞,有时候就是简单的一个爱好。
第二,如何看待这一次日本奥组委举办的白帽黑客?
其实他们对于这一次的奥运会的确非常重视,害怕会出现黑客攻击他们服务器的事情。所以才会为了防范这些黑客专门组建一个白帽黑客的团队,就是来进行防范。但是具体的作用能不能够达到预期的效果,还有待进一步的验证才可以。
第三,如何看待日本奥运会的举行?
说实话,日本奥运会的确是多灾多难,已经不断的推迟,而根据给出的消息来看,他们已经决定在明年举办奥运会。不过根据日本现在对于新冠疫情的控制,到时候不一定真的能够如期举行。
自学成才
很多白帽子都是读计算机方面的专业出身,也有不少是读信息安全对口专业的,但是绝大部分的人谈起自己如何成为一名白帽子,都说是自己“自学”的。
1990年出生的阿正是补天平台(漏洞响应平台)的一位技术大牛,他最初接触黑客技术,始于上初中的时候。当时他的同桌买了一本黑客技术方面的杂志,阿正随手翻了翻,竟然一下子被里面的内容吸引了。不久之后,家里买了第一台电脑,他开始按照书中教的内容自己摸索捣腾。
其实日本奥组委选择组建一个白帽黑客的团队,原因非常的简单,就是为了能够在奥运会举办的时候最大程度上的保证整个奥运会举办期间不管是直播还是转播都能够畅通无阻地进行。当然,对一些比较机密的文件也需要提前进行保密工作。这样才能够让整个安倍顺利地举办下去,所以才会举办这样的团队。对于这件事情,网友们也是议论纷纷。那么在这里跟大家分享一下我对这个事件的看法。
第一,不断的推迟到奥运会举办时间。
根据日本共同社在此前给出的消息就可以看出,目前距离东京奥运会的重新举办只剩下不到半年的时间,但是他们的导演团队缺已经进行了更换,而从目前的形势来看的话,到时候不一定能够如期的举办日本东京奥运会。
第二,这些白帽黑客的主要作用是什么?
在上边我也讲述了这些白帽黑客主要的工作就是为了能够保护在东京奥运会举办以及前期的筹备过程当中的信息安全。因为现在我们已经进入到了网络时代,信息安全对于任何一个大型活动的举办都是非常重要的,所以日本方面才非常重视这一次的网络安全问题。而且在2017年的时候,他们其实就已经开始组建这个团队,当时命名为正义黑客。
第三,如何看待这一次日本奥组委的行动?
其实日本方面对这次的奥运会特别的重视,但是因为新冠疫情的影响,造成这一届的奥运会不断地被推迟,资本方面其实也是非常懊恼的,毕竟举办一次奥运会是非常不容易的,继二连三的推迟不仅严重影响到了日本的声誉,同时也会造成奥运会的损失不断的扩大。毕竟现在奥组委已经接到了很多退票的申请,如果今年持续下去,说不定到时候都没有观众来看一下奥运会比赛。
标签:白帽黑客工作心得
已有2位网友发表了看法:
访客 评论于 2022-07-17 23:30:29 回复
安全漏洞闯入对手或者嫌疑人的系统。一般来说,灰帽的技术实力往往超过白帽和黑帽。人们常常把黑客行为看作是一种嗜好或者是义务,希望通过自己的黑客行为来警醒某些网络或者
访客 评论于 2022-07-17 21:43:11 回复
找漏洞,以个人意志为出发点,对网络或者电脑用户进行恶意攻击的黑客。通常指犯罪分子,他们利用自己的力量发现或开发软件漏洞和攻击,或开发其他恶意工具入侵用户机器窃取数据,如密码、电子