21世紀什麼最貴,人才。而人才最大的噩夢就是——懷才不遇。
烏雲深諳此道,手中一萬四千名白帽子,無疑是社群成立五年以來最值錢的「資產」。讓這些白帽子堅守正義理想的同時,不至於「啼飢號寒」,也是烏雲團隊這幾年的「規定動作」。
三年前,烏雲團隊搞出了乙個「烏雲眾測」。
簡單說來「烏雲眾測」就是用眾包安全測試的方式給手下的白帽子「拉生意」。為每乙個想要進行安全測試的企業選拔30名白帽子,手動進行滲透測試。腦洞大開的白帽子會採用各種「刁蠻」的姿勢試圖進入企業內部,然後為企業修復他們發現的漏洞。如果說「烏雲眾測」是別動小分隊的話,那麼烏雲原班人馬剛剛推出的「唐朝安全巡航」系統就算是「人民戰爭」了。
【唐朝安全巡航系統主介面】
唐朝巡航和烏雲眾測最大的區別就是採用了「人海戰術+自動化」的策略。白帽子在系統中的主要功能就是提交「自動化監測漏洞外掛程式」。說來簡單,這個外掛程式實際上是把白帽子手動尋找漏洞的方式用自動化的方式重現出來,這樣白帽子就不用在不同的任務中重複同樣的滲透過程了。外掛程式一旦被系統選用,那麼一旦企業運用這個外掛程式搜尋到漏洞,它的作者白帽子就會獲得一次分成。如果這個外掛程式被普遍運用,那麼白帽子就可以坐收「版稅」,在夏威夷的陽光下一邊看著草裙舞一邊數錢了。
烏雲創始人劍心把「唐朝」比作乙個航空母艦,「圍繞著企業的安全邊界去巡航」。優點在於,這艘航母上的「艦載機」(漏洞外掛程式)是會實時公升級的。
用「攻擊者」的思維來對企業安全進行測試,是「唐朝」讓劍心引以為傲的特點。因為企業被利用的漏洞往往是低階而奇葩的。唐朝安全巡航產品總監 boooooom 向雷鋒網介紹了幾個奇葩但是屢屢出現的企業漏洞:
1、弱口令「你的公司一定存在用自己的姓名+生日作為密碼的人。」因為繁重的工作已經把員工累成狗,很多人面對複雜的內網密碼,內心是拒絕的。沒錯,這個世界正是「加班不息,弱口令不止」的熊樣。你會問:「你不知道我的使用者名稱,一樣無法爆破我的驗證啊。」沒關係,你的身邊一定有叫做諸如「張偉」「王偉」「李偉」「張芳」「王芳」的同事。通過簡單的社工庫運用,就有很大機率爆破你的口令,從而讓黑客進入你的內網進行漫遊。根據烏雲白帽子「紫霞仙子」(別幻想了,是個純爺們)透露:2、「好**」github
github是最大的開源**庫,很多程式猿選擇在上面分享自己編寫的**元件。黑客在為程式猿分享精神點讚的同時,也會順便瞅一瞅他是否在**裡洩露了內網資料庫的配置,或者乾脆是企業內部郵箱的帳號密碼。萬達、步步高、唯品會等數不勝數的企業都倒在了這個無厘頭的原因上。
3、「別人家」的漏洞
「csdn的資料洩露跟我公司有什麼關係呢?」關係就是:你的員工很可能用和csdn同樣的密碼註冊了你的企業郵箱。
某在唐朝上提交漏洞外掛程式的白帽子兄弟,第乙個月分紅有1000元,第二個月分紅就**到了4000元。乙個新的漏洞爆出來,提交外掛程式的人都在爭搶,幾個小時之內就有四個類似外掛程式提交。【這就是傳說中的紫霞仙子(感覺不會再愛白帽子了)】由此看來,在「唐朝」執行初期漏洞外掛程式的**還是不錯的。然而,也有白帽子表示了顧慮:一旦製作了漏洞掃瞄外掛程式,就相當於把獨門武功公諸於眾。之後自己再用這套功夫在江湖上行走的時候,就沒有那麼好用了——因為別人花點錢就可以買到你寫的武林秘籍。
這個問題的關鍵在於兩點:
1、你的武林秘籍到底值多少錢?2、你更在乎錢還是更在乎成就感?這兩個問題很難回答。也許為了實現「天下無賊」的夢想,白帽子從來都需要情懷吧。史中
白帽子新手上路(一)
這篇文章我在tsrc徵文的時候發表過,考慮到tsrc的文章並不對外界公開,我又把它發表在這裡,如果有在tsrc看到過,沒關係,也是我發的。這是一篇針對想成為白帽子的的文章,關於白帽子,借用百科中的描述 白帽子,描述的是正面的黑客,他可以識別計算機系統或網路系統中的安全漏洞,但並不會惡意去利用,而是公...
上一條記錄下一條記錄
select top 1 from 表 where id 當前id order by id desc select top 1 from 表 where id 當前id order by id desc 上一條記錄 select top 1 blogid from gcc bloginfo wher...
顯示上一條新聞 下一條新聞
假設當前newsid 2 select newstitle from newstable where newsid select top 1 newsid from newstable where newsid 2 order by newsid asc or newsid select top 1...