A. 如何看待白帽子在烏雲網提交世紀佳緣網漏洞後被抓
這是一個道德問題。白帽子頭頂上雖然頂著個白色的帽子,看起來是安全的,但其實任何沒有經過允許的檢測都屬於非法的惡意攻擊,是犯法的。即便你沒有做什麼,即便提交到wooyun或者360的補天。這裡面有個關鍵,就是廠商不找你麻煩!大部分廠商對於白帽子提交漏洞,都是歡迎的,但心裡其實還是有點拒絕的。因為沒人喜歡別人指出自己的錯誤,因為那樣顯得自己是個白痴。即便你認為你的行為是正義的是善意的,是為了網路安全做貢獻的。大部分廠商對於這樣的行為是睜一隻眼閉一隻眼的,不找你麻煩。而世紀佳緣....只能說那個被抓的,是廠商對於白帽子這種行為不滿的犧牲品。而很多眾測行為,是經過廠商允許的。
並且這里有個問題,新聞中說了發現了大量訪問資料庫的連接。所以廠商根本無法確定白帽子是否泄漏了資料庫賣給黑產。只能報警。這樣的情況之前不是沒出現過,wooyun有很多。一些黑客入侵一些網站,把資料庫拖了,然後賣掉。最後再去wooyun或者360的補天提交漏洞。
B. 關於「某白帽子在烏雲報漏洞,結果逮捕」,國內還有白帽子的環境嗎
看些通用漏洞會有詳細代碼分析,其他漏洞很多都是由於分站之類的問題,不過也有一定的學習價值,不過烏雲公開漏洞速度很慢,還是多看看評論吧
C. 黑客是如何發現系統漏洞的,系統為什麼會有漏洞
一、黑容發現系統的漏洞的途徑一般不外兩方面,一是偶然性的發現(所謂的碰巧),另一種是得到了核心資料後根據分析發現。
二、為什麼會有漏洞,簡單地說,這個世界上基本不存在完美的東西,電腦操作系統也是一樣的。
1、當前的主流系統是非常復雜的,而一個復雜的東西就很難做到沒有盡善盡美,這就是所謂的毛病、漏洞。就象世界貿易中心大樓一樣,也許風吹不倒,地動也不倒,飛機一撞就倒了。
2、一個系統,在使用時,可能面對各種各樣的情況,而且很多情況是設計時根本不存在的。還是比如世界貿易中心,誰會想到用飛機去撞它呢!退一步,就算不用飛機去撞它吧,也許破壞份子就能從下水道、通風口進入內里,在裡面放炸彈……
3、所以,一個復雜的系統,如果有足夠的資料去了解它,去研究它,往往可以找到很多方法去破壞它,去非法篡改它。
三、為什麼微軟當初發現不了?
這太難為微軟了,無論哪個公司都做不出完美的東西。何況自個的錯往往自個發現不了,那也是最常見的規律,所謂的當局者迷。
D. 白帽子黑客是怎樣的一群人
【張小沖的回答(121票)】:我是烏雲的創始人,我來回答下吧,我們最開始做烏雲的目的很簡單,因為我當時負責網路的安全,但是我們根本無法對老闆回答我們是不是做安全了,什麼是安全,根本原因是這個行業的封閉,無論是老闆還是用戶對安全都不了解,開發的人說安全是這個樣子,運維的人說安全應該這么搞,老闆說咱們安全很好啊一年到頭沒有安全事件,老闆又說了沒有安全事件你們這些屌絲天天都在做什麼,而且也發生過很多安全公司利用用很小的安全漏洞來敲詐企業說你這里有個很嚴重的問題,老闆不懂也許一下子就買單了,更不用說由於攻擊者和防禦者的信息不對稱帶來的信息壁壘問題了是的,最開始的原因是為了我們自己工作的原因和讓我們身邊朋友和老闆對我們工作的了解來做這個事情,後來我們發現帶來的收益更大,我們讓安全研究人員通過這個平台能夠學習到其他人的技術和技能,我們讓安全研究人員能互相認識能夠展示自己獲得更高的榮譽和工作機會,我們讓所有企業知道所有最新的安全漏洞狀態,我們也同樣讓更多的普通用戶了解企業如果不做好安全可能給用戶帶來的信息安全威脅於是我們幫助行業完成了一個正向的循環,白帽子發現和報告安全問題,企業修復並披露安全問題,用戶了解信息安全從而對企業提出信息安全要求,企業加強信息安全建設和提升白帽子價值,更多的白帽子學習和加入到這個過程我很難去說烏雲上所有的人都有什麼心理,但是我們一直在往這個方向引導,我自己也是烏雲上的白帽子一員,我個人的驅動力是,我已經有一份穩定的工作,我愛好安全而又沒有任何壓力驅使我使用我的技術去謀取非法利益,我能夠以正確的渠道展示自己,我能夠得到除了騰訊這種封閉企業之外的企業認可,我也可以參與到烏雲開展的各項活動,我能夠認識到優秀的人和他們交流獲得提升,這就是我在烏雲能夠得到的沒有在烏雲過漏洞的筒子就不會體驗到這種讓人開心的感覺啦 :)【大風的回答(24票)】:白帽子是不黑網站的。嚴格來說,未經授權而進行的滲透測試都屬於耍流氓,根據滲透的深淺程度而判定流氓的大小程度。好吧,根據以上定義一棒子打死了好多人,肯定很多人因為被冒犯而不高興。那我就不抬杠了,題主指的這種情況,如果沒有拖庫的話(根據實際情況判斷,比如日誌分析或者是和白帽子交涉),可以不給用戶發告警提醒。如果有被拖庫的風險的話,本著對用戶負責的態度,應該告知用戶風險,並考慮強制用戶登錄後修改密碼。另外,白帽子願意報告漏洞給你,避免了被黑客利用該漏洞的風險,所以要好吃好喝伺候好了,別嘗試做出會激怒所有白帽子的行為,他不是一個人在戰斗。【知乎用戶的回答(2票)】:根據《三體》中黑暗森林理論,當你不了解這個所謂的白帽子時,就應該把自身的安全做好,說不定白帽子剛好一不小心脫了你褲,如果你不找條新褲子穿上,那你在他面前就只剩下菊花了【eagle black的回答(3票)】:首先推薦大家看@大風寫的《白帽子講web安全》一書,P6就有關於「黑帽子」「白帽子」的詳解。言簡意賅的說:稱職白帽子就是通過網路安全專業技術去鑽研、挖掘計算機、網路系統漏洞的人。但是他/她們不會去做任何的破壞,同時會告知管理員漏洞內容及修復方案。(因目前少部分白帽子的某種行為不當 所以前面加了「稱職」二字)白帽子一般通過以下四種方式去提交漏洞:1、通過自己去聯系網站管理人員提交(雖然比較繁瑣 但是鄙人還是比較欣賞這種方式)2、通過國家信息安全漏洞共享平台提交3、通過官方的漏洞平台(如:騰訊的騰訊安全應急響應中心)4、通過第三方漏洞提交平台(如:WooYun.org | 自由平等開放的漏洞報告平台)個人覺得,大家可以把白帽子可以理解為比較正義的黑客。【知乎用戶的回答(0票)】:好吧,白帽子告訴了你站點哪裡出問題了,你有證據顯示信息泄露范圍就是白帽乾的而不是另一路人馬乾的?其實做甲方能多做一點感謝白帽就很不錯了。白帽冒著被請喝茶的風險還告訴你問題所在,這是啥馬樣的精神?共產國際主義也不過如此吧。責任鑒定問題,查下伺服器日誌,查下資料庫執行的語句,看看是否被人劫了,如果沒有,該做的事做一遍。該感謝的要感謝。如果是被劫了,看損失估計,如果沒有涉及太大就算了,其實大多數都是如此。。說到改密碼,那就得看密碼是如何泄露的,如果資料庫加密的話看看是否是弱口令或網路嗅探上出問題,至少總查的出來吧,看泄露哪些用戶,再讓別人改,本身有些弱口令就是被撞庫出來的。總讓用戶改密碼很蛋疼的。【知乎用戶的回答(0票)】:白帽子大概就是為了技術而技術,而黑帽子就大多是為了利益。面對利益,說一點不動心是不可能的。
E. 如何成為一個黑客,白帽子黑客
想成為一名白帽子的黑客首先你要精通黑客所懂的所有東西,你才能見招拆招。光會破壞容易,讓你修復,防禦者可是比破壞要難的多啊。建議先進入一家比較好的公司類似於360這樣的公司,鍛煉自己。然後才能有慢慢的進展吧。祝你成功哦。祝你成為中國的一名有名的白客。
F. 我想當白帽子挖漏洞賺錢,怎麼學習白帽子技術
需要學習c語言,攻防等,我也快成一名光榮的白帽子,目前為止我正在培訓之中
G. 白帽子報告漏洞到底是為什麼
白帽子,描述的是正面的黑客,一般白帽黑客都是受人尊敬的,他們對計算機系統和互聯網進行分析.找出其中的安全漏洞,然後將漏洞報告給廠商,當廠商修復完畢後才公開.這對"減少互聯網攻擊"的宏偉目標提供了非常重要的幫助
在黑客世界裡,所有黑客被歸為三種類型:
白帽子:描述的是正面的黑客,他可以識別計算機系統或網路系統中的安全漏洞,但並不會惡意去利用,而是公布其漏洞。這樣,系統將可以在被其他人(例如黑帽子)利用之前來修補漏洞;
灰帽子 :他們擅長攻擊技術,但不輕易造成破壞,他們精通攻擊與防禦,同時頭腦里具有信息安全體系的宏觀意識;
黑帽子:他們研究攻擊技術唯一的目的就是惹事生非。
H. 怎樣才能成為一名白帽子,挖掘漏洞需要哪些方面的知識,要看哪些書,緊緊學挖漏洞而已,望大神指導,有收
挖漏洞也分方向。
有web,操作系統(pc端,手機端),還有逆向破解反病毒等等方向。
搞web,你可以自己去搭建一個網站,在此過程中,計算機網路,html,css,javascript,php資料庫,等等,php代碼審計啊,SQL注入啊,xss啊,還要適當接觸linux,這一路學習過來,再看案例,再研究,再學習。
操作系統
這個太NB了,根基就是C和匯編,內核也要玩的溜啊,搞安卓應該還有linux吧,這個很耗心血呀。
逆向反病毒
還是C和匯編,這兩個要玩的溜,還有windows的API,PE結構,哦,還要學習操作系統等等課程(密碼學)還有主流的幾款工具,IDA,ollydbg,等等反匯編工具。。。
I. 如何發現漏洞
你可以用360安全衛士進行全盤檢查,他有智能修復功能如果它提示系統漏洞要修復,那就是應該要修復的 有的漏洞不用修復他就會忽略所以不必在意!這樣不會影響系統的運行!
J. 系統 軟體漏洞是怎樣發現和並破解的
我要是知道怎麼發現並會修補的話,我早去微軟應聘了
微軟公司中的技術人員會在第一時間發布系統漏洞補丁,來完善你的系統,每個剛裝的系統都不是完善的,因為網路黑客等他們每時每刻都在想各種花樣來攻擊你的電腦,所以微軟要隨時發布漏洞補丁來完善你的系統提高安全性,讓你的系統免遭侵入。還有的補丁能提供電腦運行速度等一系列的優化