·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
DZ插件网 门户 网站安全 查看内容

白帽子与厂商battle的那些事,你是否也遇到过?

2023-8-5 04:54| 发布者: 独家记忆| 查看: 21981| 评论: 0

摘要: 了解白帽子与厂商之间的斗争,探讨私曝漏洞事件的原因和后果。从四位白帽子的经历中看到他们面临的挑战和对正义的坚守。深入分析在网络安全法规下,如何避免私曝漏洞事件的发生,呼吁厂商和白帽子共同努力维护网络安全。
在无数个向厂商提交漏洞的日子里, 以下的场景你是否似曾相识?

被厂商“白嫖”:“这根本不是一个漏洞!” 但当你再次复查时,发现漏洞已经被修复。

被厂商的威胁:“这就不是一个洞,但你敢公开的话就试试看!”

被厂商误会:“你知道这样是违规披露漏洞吗?我会报警的!......” 然后你真的就被邀 “喝茶”了。

被厂商“占便宜”:“不好意思,今日起,这类漏洞的奖金减半!”

近几年,白帽子私曝漏洞的事件频发,在业界引起了不小的波澜,在告知白帽子私曝漏洞的行为会有触犯法律的风险,呼吁白帽子加强法律意识之际,好像没有人去深究白帽子选择私曝漏洞的原因,也没有人问过他们,“为什么你要违规披露漏洞?”。

白帽子与厂商battle的那些事,你是否也遇到过?9612 作者: 来源: 发布时间:2023-8-5 04:54

为了一探究竟,笔者采访了四位来自不同团队、不同背景的白帽子,了解这个群体选择私曝漏洞背后可能的原因。

白帽子与厂商battle的那些事,你是否也遇到过?6741 作者: 来源: 发布时间:2023-8-5 04:54

答案似乎很一致:炫技、法律意识不强、由于误会和厂商起了冲突所以一气之下公布漏洞……这三点是造成白帽子私曝漏洞的常见原因,其中第三点很可能是最主要的原因。

“不承认漏洞就算了,他们还威胁我!你敢信?”


被误会的月神:2017年,我在提交了某个互联网新闻平台的漏洞后,立马接到了厂商的电话, “你到底是谁,你是不是要攻击我们,如果你敢乱来,我们就要报警了”,和对方解释了半天,我才发现对方根本不是该厂商SRC的对接人,只是该平台的业务人员,并且其对白帽子这一群体的性质并不了解。

被“白嫖”的Balis0ng:遇到过一些厂商,对我提交的漏洞报告置之不理,过了几天我再去检测,发现漏洞已经被修复了……我还遇到过向厂商连续提交了两个漏洞,但厂商SRC对接人表示经过开发人员鉴定,认为这两个漏洞是同一个漏洞的情况,我也是很无语。

被威胁的小七:2018年,在提交了某大厂的漏洞后,我接到了厂商的来电,他们不但不承认这是一个漏洞,还威胁我,“如果将漏洞公开,你以后不好找工作吧?”,不承认漏洞就算了,他们还威胁我!你敢信?

被“教育”的远海:在一周内提交了某教育平台的6个系统漏洞后,我被使用该教育平台的厂商运维人员“教育”了一顿。应该是一下子提交了太多的漏洞,耽误运维人员下班了,所以当时厂商的运维人员还特地通过ID找到我,把我说了一顿。

被误会可以选择解释、被“教育”可以选择体谅、可是当被“白嫖”和威胁时,白帽子也只能选择自认倒霉吗?“是的,没错,遇到了也就只能自己吃了这个亏,也没有任何办法,但是好在大多数正规的厂商,不会这样对我们”,Balis0ng说道。

接受采访的这四位白帽子,在向厂商提交漏洞时,均吃过不少“哑巴”亏,即使在厂商不愿意承认他们提交的漏洞时,他们也从来没有想过要私曝漏洞,究其原因,是他们对正义那颗初心的坚守,也是因为他们深知,这种行为不但会将本来有理的他们推向无理的边缘,他们还要承担被追究法律责任的风险。因此,要从根本上避免白帽子私曝漏洞事件的发生,除了法律法规的完善和普及,还需要各大厂商一同努力。

白帽子与厂商battle的那些事,你是否也遇到过?68 作者: 来源: 发布时间:2023-8-5 04:54

“随着法规的完善和行业的成熟,我相信私曝漏洞的行为会越来越少”


《中华人民共和国网络安全法》规定,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。随着《网络安全漏洞管理规定(征求意见稿)》的出台,有关网络安全从业人员的相关行为规定更加明确和细化:第三方组织或者个人不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息,不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具。一般情况下,发现漏洞后,第三方组织或者个人可以将相关漏洞报送给CNNVD或CNVD,CNNVD或CNVD将会在5个工作日内予以确认回复,并通知厂商在90/10天内修复,厂商采取漏洞修补或防范措施后再予以公开。

《网络安全漏洞管理规定(征求意见稿)》的发布,是为了规范网络安全漏洞报告和信息发布行为,同时督促相关厂商、第三方及运营方及时应对漏洞问题,这是在《中华人民共和国网络安全法》的基础上,法制体系进一步完善的体现。

“随着该规定的出台,能有效减少白帽子因为炫技或者法律意识不强而私曝漏洞的行为。”


接受采访的四位白帽子均认为,《网络安全漏洞管理规定(征求意见稿)》能起到规范行业行为和保障行业健康发展的作用。

“从大学的硬性教育作为突破口,是一个不错的选择。”


据远海透露,有关网络安全法知识的课程,在他的学校目前是以选修网课的形式开展的,而那些没有选修该课程的学生,可能对哪些行为会触犯法律并不清晰,随着我国网络安全市场越发活跃以及相关法律法规陆续出台,他认为从大学的硬性教育作为突破口,是一个不错的选择。

“建立漏洞仲裁机制,有助于减少白帽子和厂商之间的‘扯皮’事件。”


随着腾讯、百度、阿里、华为、深信服、滴滴等各大厂商安全应急响应中心的机制日渐完善,越来越多的白帽子更倾向于向厂商直接提交漏洞,一是因为厂商一般会优先处理在自己平台上提交的漏洞,二是因为直接向厂商提交漏洞,白帽子能获得更多的回报。Balis0ng也谈到:“现在各大厂商也越来越重视白帽子的贡献,比如2020年,腾讯首次推出了百万奖金池,单个漏洞额外奖励最高可达20万元;深信服前不久升级了奖励机制,单个漏洞税后最高奖励金额有50万元;滴滴于2021年增加了年度奖励规范中获奖金的名额,年度排名第一的白帽子可获得8万元奖励。”

“很多大厂还是很有诚意的,其实我们也感受的到,所以我们现在也比较倾向于向厂商直接提交漏洞”,Balis0ng说道。但是直接向厂商提交漏洞,白帽子有时候也会面临一些问题,比如当厂商驳回漏洞时,白帽子就只能在“守法等于吃亏”和“曝洞等于犯法”之间选择吗?

Balis0ng认为,如果可以在业内建立漏洞仲裁机制,当白帽子与厂商因为漏洞鉴定出现争执时,第三方机构可以介入仲裁,那将能有效减少白帽子因为厂商驳回漏洞而违法披露的行为。


在网络世界,如果说恶意黑客是矛,利用系统或软件的漏洞,非法入侵并获取利益,那白帽子就是盾,他们选择用技术来保护网络安全,他们需要比恶意黑客跑的更快,他们发现的漏洞越多,网络世界也就更安全,但相比恶意黑客的“张扬”,他们的事迹却鲜有人知,他们更像是隐世高手,低调地大战四方。虽然有时候他们会被误解,有时候他们的付出没有得到应有的回报,但是他们还是坚守了自己的初衷,做正义的事情。

白帽子与厂商battle的那些事,你是否也遇到过?3772 作者: 来源: 发布时间:2023-8-5 04:54

接受采访的四位白帽子均表示,随着行业的发展和规范,目前白帽子群体遇到的一些困境都会得到有效的解决,同时他们也呼吁白帽子从保护自己的角度出发,依法披露漏洞,不要因为一时气愤让自己面临触犯法律的风险并带上“无理”的枷锁。

白帽子与厂商battle的那些事,你是否也遇到过?4007 作者: 来源: 发布时间:2023-8-5 04:54



精彩推荐

白帽子与厂商battle的那些事,你是否也遇到过?890 作者: 来源: 发布时间:2023-8-5 04:54

白帽子与厂商battle的那些事,你是否也遇到过?2772 作者: 来源: 发布时间:2023-8-5 04:54

白帽子与厂商battle的那些事,你是否也遇到过?2268 作者: 来源: 发布时间:2023-8-5 04:54

白帽子与厂商battle的那些事,你是否也遇到过?120 作者: 来源: 发布时间:2023-8-5 04:54

白帽子与厂商battle的那些事,你是否也遇到过?3796 作者: 来源: 发布时间:2023-8-5 04:54



上一篇:23初级会计考试,准考生打印时间,有财政厅最新通知!
下一篇:【C语言03期】语言的编译,神奇的魔法师

鲜花

握手

雷人

路过

鸡蛋

评论

您需要登录后才可以发表言论 登录立即注册
创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:3.133.122.95,GMT+8, 2024-12-23 22:31 , Processed in 0.285130 second(s), 46 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯
扫一扫添加微信客服
QQ客服返回顶部
返回顶部