·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
DZ插件网 门户 网站安全 查看内容

“白帽子”乱谈

2024-8-31 07:30| 发布者: 独家记忆| 查看: 6591| 评论: 0

摘要: 今天一件事大火,是什么都知道就不说了,说说我的个人看法。这篇文章会惹很多人不爽,尤其白帽子,事先声明:1、你不喜欢可以不看,你看完要喷我也懒得搭理你。2、我不是任何甲方乙方人员,不是SRC上班的也不是黑白 ...


今天一件事大火,是什么都知道就不说了,说说我的个人看法。这篇文章会惹很多人不爽,尤其白帽子,事先声明:1、你不喜欢可以不看,你看完要喷我也懒得搭理你。2、我不是任何甲方乙方人员,不是SRC上班的也不是黑白红绿帽子,3、本文章不针对具体某个人、某个团队、某个SRC,因为某个人、某个团队、某个SRC只是这矛盾中的一个爆发点而已,没有他们,这个矛盾也会由其他个人、团队、SRC暴露出来。

这一年里,我们都看到了越来越多的公众号文章抱怨国内SRC坑,不是漏洞定低了就是嫌钱少,最近的一篇我还能记起来的好像叫做《SRC发展到今天有必要考虑考虑了》,文章说了一个事情:报上漏洞就回复内部已发现,反正不给你通过。单从那个文章看,我也觉得这小白帽挺可怜。

我在这里想先问一句:什么是白帽子?什么是公司?这俩是一回事吗?

白帽子抱怨国内SRC给回报低,我也觉得低。但谁让你提交了?SRC拿刀子逼你了?你要非说“白帽子要为国内网络安全做贡献”,可以呀,那你们就做不就贡献不就完了,只要能帮助甲方修补了漏洞就是贡献,你还提钱干什么?再说高危低危,你非要说一个ssrf是高危,能探测内网,我承认可以探测端口,但是又如何?你真的拿这个漏洞干了有危害的事了吗?人家单独划分wlan了不行吗?你确实看到了一个内网IP 172.x.x.x,开放了80端口,但是就存在一台主机,就开了80端口放了个HTML页不行吗?你就非要说这个是严重吗?

退一步讲,你真嫌国内风气不行,那我可以帮你指条路,你去挖谷歌,谷歌chrome一个漏洞能给到$100000,注意是5个零,就算是谷歌网站的一个XSS也能到10000刀,再次点你去挖微软系统漏洞啊,最差不行你就去挖adobe和weblogic。上面说的很明白,你嫌国内低你找钱高的去挖不就好了,就像你找妹子:你嫌这个丑你去找刘亦菲嘛(其实我也不觉得刘亦菲好看,我喜欢王冰冰),难道你就一定要把这个丑的大喊出来:她太丑了!然后晚上还继续抱着人家***,第二天早上还又到处说这个妹子真丑。

要我说,国内挖洞回报确实低,但这就是你们白帽子给惯的,是你们自找的,明知道低你还去费劲挖漏洞提交,提交完了还嫌给钱低。俗话说的好,是骡子是马拉出来溜溜。你非说这个漏洞严重,SRC定位太低钱给少了不值,那你就别提交啊。直接学习谷歌做法:已野外利用的微软0day,7天了还没修补中公布。危害性所有黑白红绿帽子一起来判断,他SRC非要说这个xml注入是低危,那就公布等那些黑产们去搞他一炮嘛。对于SRC来说也一样,你非要说这个XML注入是严重,那就让黑产们来搞我啊,你什么系统都控制不了、什么shell都没有、什么信息都拿不到你非要说是严重,有意思吗?

当然,换到中国,直接公布漏洞,肯定会被抓,这就涉及到了更深的行业现状深层次的问题了,你公布漏洞也是需要点“技巧”(这个网站有人敢做吗?)。这里开始我们转换到SRC角度。SRC只是一个企业下属的小部门,他们能做的最多的也就是给你他们部门能给你的。他们部门一年预算就100块钱,你非要能换到200块钱的积分,你说你能拿到吗?中国企业为什么不注意安全?为什么不肯在安全上多投入,更何况SRC还只是安全中的一小块。话直白了说,中国法律规定企业发生安全事故直接罚款100亿,也就是法律不光规定了而且还真的实施了,你作为企业老板还会忽视安全吗?所以要真的是爱国为中国网络安全做建设的话,你们的对手应该是这整个信息安全行业的监管现状,而不是那某一个SRC里的两三个运营小姑娘--你就是把那某个SRC所在的某个公司整到倒闭了,中国的漏洞回报就会高起来吗?企业老板们的重视程度就会高起来吗?就算那俩运营小姑娘辞职不干了,你就是为国做贡献的“白帽子”了?真得想让国内安全行业好起来,那你们就去努力改变国内的安全监管方式,让安全机制真的有效运行起来。我说句实话:你真的不是为了钱?真的是为了国家做贡献?

你们好好看看ZDI、hackone,他们为啥就能钱多?就算是不能报漏洞,就直接卖给XX或者黑客团队,你管得着吗?你们谷歌微软不注意安全,那就倒逼着去安全起来,而不是像你们这种巨婴式的哭闹:他们给我太少钱,他们看不起我!我就要哭就要闹。不觉得可笑吗?另外补一句:我经常去某餐馆吃饭,真的不是跟餐馆就算是合作方,我只是个消费者,就算我哪天离开这个城市不去那吃饭了,我也不能叫终止合作,顶多叫不去消费了。别说国内没有地方体现你的价值,要在以前确实没有,但现在360bugcloud走得什么模式,你们好好琢磨琢磨,跟zdi对比一下收洞方式你就明白,另外还有天府杯“TFC”,你只要牛逼你就能报名参赛,这绝对不是没有平台的问题,我们都知道“TFC”的漏洞和某SRC的漏洞,孰轻孰重,哪个难,你们自然心里懂。到这里,可能会问:那那些个别企业的单独漏洞,怎么办?我的回答是:人家爱怎么办怎么办,皇上不急太监急,更何况你连太监都不是。

这些白帽子,都是乌云圈子里出来的。以前乌云还在的时候,还能有情怀可言--但是高Rank的那些人,人家本身也就是为了体现技术,至于那些分数、奖品他们谁在乎了?分高找工作什么的就是一个证明,这个本身也是好事--企业选择员工也有了个标准,你分高就行。但是分高也只是证明技术时才有意义,后来刷分(struts2、Imagetragick)后,RANK还能代表技术吗?你用Struts2验证脚本跑1000个站和跑10个站,会有什么技术上的本质区别吗?更何况这个脚本都是你网上下载或者别人发给你的。而乌云***了之后直接跟SRC对接了,现在的白帽子,反倒开始更注重回报、奖品了,还是白帽子吗?还是借了白帽子这个名字?

总结一句:你挖洞你就挖洞,你情怀你就情怀,你想拿钱你就想拿钱。没人管你,但是你可以不挖洞、不情怀、不拿钱,也没人管你。当然,你们也可以继续哭闹,继续消耗“白帽子”这个名词来拉圈子拉帮结派的去对付一个SRC。who care?最终不过就是把乌云好好建立起来的“白帽子”形象给毁掉。要为信息安全行业做贡献,你应该去帮助建设体制、建立行业标准,而不是拉上圈子靠人际关系怼那三两个小运营。



上一篇:新款奇骏涨价三千,多的配置能否值回票价?
下一篇:这支85后投资团队,天使阶段投出多个硬科技超级明星

鲜花

握手

雷人

路过

鸡蛋

评论

您需要登录后才可以发表言论 登录立即注册
创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:3.148.115.187,GMT+8, 2024-12-26 09:01 , Processed in 0.240099 second(s), 43 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯
扫一扫添加微信客服
QQ客服返回顶部
返回顶部