有人说,双 11 不仅是购物者的狂欢,也是黑产的年度盛宴。

简介:

有些天,人们总抽不到奖,领不到券,以为运气不好,不知数十万“撸货大军”正在疯狂汇聚、大肆抢夺优惠券、秒杀特价货物,大量"返利、促销“瞬间消耗殆尽,日入十万,盆满钵满。

今天我们要说的不是黑产,而是与之抗衡的白帽黑客力量。双11,这帮“漏洞猎手”们也开始利用漏洞赚钱。不过方式和黑产截然相反。

(一)

“有人要送我台 iPhone 8,没要” 

白帽子黑客 hackbar 视角。

双十一前的一个周五,下班回家,我和大部分妹子们一样,盯着屏幕,搜寻着优惠活动。旋即,一个商户的抽奖活动页面落入我眼中,隐约感觉自己会中奖,有点小激动。

我的抽法和平常人不太一样。不少人觉得网上抽奖都是骗人的,根本抽不中。其实不仅能抽中,而且还能百发百中。要啥有啥。

我瞪大双眼盯着电脑屏幕,脑中浮现的是方块和线条组成的逻辑框图,那是抽奖页面背后的业务流程逻辑。随着每一个新线索的出现,它们时而拉长,延展,直到最后触及目的地,一台 iPhone 8。

我动用了一些计算机基础知识……

睡醒时已经是早上11点了,吵醒我的是一通电话,对方跟我要地址,说我中奖了,要是把 iPhone 8 寄过来。我没给。

挂了电话,径直登录SRC(安全应急响应中心)的网页,点击漏洞提交……嗯,看样子昨天搞到一两点没白熬。

到这里,你应该知道我在干嘛了。

这就是我周末的挖漏洞日常。和以往略有不同,双11,平台官方和商户都会上线很多活动,在我们眼里,它们是一个个新上线的“业务”,但凡业务就有流程和逻辑,开发人员犯下的每个小错误都是一道口子,这道口子要么被黑产先发现,疯狂获利,然后普通人莫名其妙地怎么也抽不中奖,领不到券;要么先被我们白帽子黑客发现,然后补上,人们继续领券、抽奖,购买快乐,剁手。

(二)

“10月份拿了三十多万吧,三十几万记不清了,我算算哈……”

跟我聊着,hackbar 真的开始折指头算奖金,这个SRC 7万,那个 8万,那个6万……算下来真的有二十多万。双十一之前的几个月对他来说是丰收月。

除了漏洞奖金,SRC 也办些鼓励白帽子的活动, 他也砍点小奖金和礼品。

“ 比如上月蚂蚁SRC 举办了个「城市挑战赛」,按照城市组成几人的小战队,挖漏洞最多和积分最多的队伍能拿到20000元团建费,用于线下搞搞活动,吃吃喝喝什么的,反正随便花。”

有人说,双 11 不仅是购物者的狂欢,也是黑产的年度盛宴。

10月20号那天,hackbar 发了条朋友圈,“上海的战队加油啊,各位兄弟,我一个人搞不过他们啊 ”

那阵子上海队分数领先,hackbar 作为主战挖掘机,以一己之力为队伍贡献了大多数漏洞,领先于其他五个地区的白帽子。

你为什么这么吊?我问他。他说,就是花的精力多一些呗,加上运气比较好。如果硬要说,那就是细心,为了挖到蚂蚁金服的漏洞,我会针对性的把蚂蚁金服旗下所有品牌信息全面收集,对一些域名下的服务信息、敏感接口格外注意。同时保持对漏洞的敏感性,不要停止思考。

他说有阵子挖了十多天也没挖到严重漏洞,一次偶然机会,看到马云参加某会议的报道,马云说蚂蚁金服未来将对某领域进行重大投入和发展,他想到了一定会有相关应用和业务发布,跟着找过去,果然找到了高危漏洞。

有人说,双 11 不仅是购物者的狂欢,也是黑产的年度盛宴。

白帽子黑客 hackbar ↑

hackbar  所在的上海白帽战队的队长 mi_xia(以下简称虾米)在国内某知名网络安全公司工作。这次的上海站的获胜,有赖于给力的队友周末加班加点,甚至通宵挖洞。

“自己这阵子忙于工作,虽然是队长,但根本无暇挖漏洞,几个月也就提交了一个。”

一边从事正常工作,一边利用业余时间挖漏洞,这是白帽子的常态。

"也有全职挖漏洞的,比如某SRC排名第二的谁谁谁,除了寥寥几个,其他大部分都在安全公司或甲方上班,这是我看到的。大部分是当兴趣吧?”

我感到很困惑:像 hackbar 那样肯下功夫,一个月挣好几万奖金的,为啥不去做全职啊?正常工资开不了这么高吧?

“可能觉得正常工作比较安稳?”虾米也解释不太清,“怎么说呢?对我来说,如果一直埋头挖漏洞,虽然赚到钱,但如果不去了解前沿技术,思维就会慢慢僵化,我们这行更新速度很快,跟不上的话很快就被超越甚至淘汰。”

不过似乎每个行业都是这么个道理。

95年出生的虾米,如今已经进入网络安全行业5年。技术进阶第一,挣钱第二是他当前的人生奥义。在工作时看到一些客户的业务存在逻辑问题,会去仔细琢磨。会去了解新的安全防御产品和技术,茶余饭后和同事交流交流技术,在白帽子群里听大家吹吹牛逼。这是年轻白帽子们的常态。

(三)

我试图问出一些好玩的挖漏洞情节。比如具体怎么薅羊毛、怎么百分之百中奖。不肯说,一个字也不肯说。

“挖私有SRC漏洞都是签订有保密协议的,我给你说了,哪怕看起来无关紧要的内容,也可能被利用上的。”

黑客们就是擅长利用一些看似无关紧要的信息关联起来寻求突破。虾米自然不愿说,哪怕只是奖金额度也不太愿透露。我只有绕着弯子问:“那漏洞本身可能弥补的损失是超过奖金数额的,对吗?”

“当然,有些漏洞是没法轻易用价值衡量的。”

hackbar 说了一些,但大抵和 SRC 官方公开的漏洞评定标准差不多。涉及具体的渗透测试流程,只是一语带过,哪怕我追问,不说。

受人之事忠人所托,哪些能说,哪些丝毫不能,白帽子有自己的原则。我便不再追问。

但我印象当中的白帽子确实没那么谨慎。这大概和《网络安全法》的颁布,以及近两年圈里发生的一些事有关。

hackbar 说他一般只挖私有SRC的漏洞,完整授权,完全合法。

现在 SRC 数量在爆发式增长,大公司都建立自己的安全应急响应中心了,直接对接来挖洞的白帽子。小公司资源有限,也可以和漏洞响应平台合作来做相关业务。

“白帽子收益?钱还是不少的,优秀的白帽子资源毕竟有限,各家都愿意用高额奖金和福利来吸引白帽子。”

之后还会有活动吗?

有。

你还会参加吗?

会。

你会考虑辞了职去专职挖漏洞吗?

不会。

后记

无论在哪个时代,追求技术精进永远是白帽黑客们的目标。《网络安全法》的颁布,国内网络安全配套设施的完善,让他们有一条清晰的生存和成长之路,通过提交漏洞,得到应有回报。这样的时代或许未必最好,但一定不坏。

Hackbar 告诉我,双11参加完“城市挑战赛”,他想休息几天,准备挑个周末,挑战一下蚂蚁SRC为双12准备的白帽子福利活动。

我调侃他,蚂蚁SRC双12给的福利也不少吧?他说是,但这也就意味着有更多黑产在背后蠢蠢欲动,无论对他或是其他白帽子,又是一次挑战……



本文作者:木子
本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
运维 机器人 双11
2021双11|央视财经走进阿里数据中心,探秘“买买买”背后的绿色科技
服务器能“泡澡”散热,机器人能值班接替近30%的重复性工作。 先进技术不仅做到高效运维,还能助力节能减排。
2021双11|央视财经走进阿里数据中心,探秘“买买买”背后的绿色科技
|
机器学习/深度学习 人工智能 自然语言处理
解读双11:购物狂欢已成人工智能的最佳战场
解读双11:购物狂欢已成人工智能的最佳战场
298 0
解读双11:购物狂欢已成人工智能的最佳战场
|
新零售 供应链 双11
京东618主场迎战:变与不变,志在必得
京东618主场迎战:变与不变,志在必得
469 0
京东618主场迎战:变与不变,志在必得
|
人工智能 城市大脑 大数据
|
机器学习/深度学习 新零售 算法
阿里召开大众听证会,整治淘宝评论圈
由阿里巴巴集团客户体验事业部(CCO)牵头的阿里大众听证会召开,就“无意义评价”该不该管、怎么管,消费者、阿里平台和商家三方展开讨论,超过10万商家围观。据了解,这也是“阿里大众听证”发布以来的首场听证会。
1603 0
下一篇
无影云桌面