白帽子報告漏洞到底是為什麼？

01-04

各位白帽來說說你給各大廠商報告漏洞的初衷是撒？可以匿名，但是不要玩虛的！

其實我是一枚普通的程序員。直到2年多前的某一天。我們公司收到一個來自wooyun的漏洞報告。讓我知道了白帽子這個名稱。也讓我意識到了不但要寫出高效、易於維護的代碼。還應該考慮安全。

報告的是一個邏輯問題漏洞。我瞬間覺得自己之前2年多的代碼白寫了。什麼面向對象，什麼設計模式。都弱爆了，安全才是最重要的！

於是我天天上wooyun上公布的漏洞，什麼xss,sql注入.平行許可權。弱口令等等。很快就對常見的web漏洞有所了解，我在公司內部開始了代碼review。發現公司項目中N多安全問題。事實上這個過程中我都是利用自己的空餘時間完成的。因為公司那個時候壓根就不關心這些事情。

通過對公司代碼的一遍review，對於常見漏洞挖掘方法基本上已經非常熟悉。自動化工具也用的很熟悉了。

這個時候的目的很單純就是實踐。問題都是報告在wooyun上的。（當時烏雲還沒有獎金，只有wooyun幣）

於是我就開始對開源程序和一些互聯網公司進行安全測試。

通過提交漏洞慢慢接觸到了安全這個圈子。也認識了一些朋友（我認識他們）。

這個時候我提交漏洞動力就是讓這些人也認識我。可惜從頭到尾我都沒有找到很NB的漏洞。不過我出來沒有放棄過。這就是我報告漏洞最大目的。

至今還是屬於努力讓他們認識的階段！

當然中途也在烏雲收穫了不少現金獎勵以及wooyun兌換的禮物。但是我一直認為這些是意外的收穫。絕非我報告漏洞的真實初衷。

現在有很多的src，我每個平台都是嘗試報告過。我覺得不開放的提交真心有點覺得是為了錢或者禮物。違背的我的初衷。有些時候也很糾結漏洞直接報告給廠商其實是最合適的。但是有些時候廠商的態度會讓你覺得你是在求他們一樣。

最後：我報告漏洞的目的，應該是虛榮心！

於我而言，單純為了自我滿足，挖洞的過程就像啪啪，不同的手法就像是不同的體位，不同的滲透目標就像是不同的妹子就，每當想到每天可以和那麼多不同的妹子以不同的姿勢啪啪，就莫名的興奮，就那麼簡單

《西遊記》中，唐僧在通天河邊，見到很多商人不顧生死，踏冰過河，說了一句話：「世間事惟名利最重。似他為利的，捨死忘生，我弟子奉旨全忠，也只是為名，與他能差幾何！」

看到不少人都關注了這個問題，我也來說說我的經歷吧：）

2011年年底，我開始接觸並且持續關注安全這個行業。我的目的非常簡單，因為自己熱愛這個行業，完全是興趣所推使。

回想起當初，研究這個僅僅是為了幫助一個高中同學去競選某高校的模特隊比賽，幫助她刷票，最後幫她刷進了決賽。當時她們的網站也很簡單，存在一個弱口令。我登錄進去之後幫她篡改了票數（當然，對於當時的我來說找後台也花費了不少時間，遇到很多有趣的事情，這裡就一筆帶過了），之後一口氣幫她修改票數到30w，她看到這個消息之後嚇哭了。並且疾呼讓我把票數修改成正常的。現在想想這個應該是激發我當時去研究安全開始的初衷吧。

當初提交第一個漏洞的初衷很簡單，希望能夠得到一個加入WooYun.org | 自由平等開放的漏洞報告平台的機會，僅此而已。（很純粹）只希望通過烏雲平台開闊自己的視野與見識。

後來，隨著自己的思路開闊，研究的東西也越來越多，從開始的sql注入到後面的跨站，研究php與代碼審計，漸漸能找出不同的漏洞，在各大安全平台我也或多或少的提交過漏洞，但是與 @齊跡所說，不開放的平台，給安全人員能提供的研究非常局限。但烏雲這點上做到了，無數安全研究人員或多或少的從平台上獲得了他/她想要的知識與見解。

一方面能給廠商帶來一些幫助的同時，自己還能額外獲取一些獎勵（雖然獎品價值不高），但是這也足矣讓我開心許久。通過自己的努力，在烏雲平台上兌換了屬於自己的ipad，那一刻或許是我自己從來想都不敢想像的。最有趣味的是，給某個廠商挖掘漏洞，時隔半年，居然給我寄了一塊肥皂（既讓我驚奇，又讓我無奈）。

通過提交漏洞，我認識了非常多的朋友。漸漸在圈內知道如何去獲取業界更多的新知識，通過購買一些安全書本，也認識了 @餘弦@李普君等其他一些很有意思的安全研究人員，一方面我希望自己的技術能通過自己的經歷有所提高，另外一方面我也非常喜歡結交一些「猥瑣流」。能遇見他們真的是我的運氣。

正是這樣的經歷，我一步一步走過來。伴隨著烏雲的發展，自己也在漸漸成長。我自己也在朝著我所計劃的目標而努力。

而如今，時間過去兩年多了，我的初衷依然沒有改變。我仍然熱愛安全技術。

ps：最後說一句，我真不是女的。

1.挖洞過程中能學到很多知識

2.我真的是為了那些企業你信嘛？提交的漏洞要是很久沒審核了主動去聯繫別人你信么？提交漏洞前會先看看烏雲是否存在聯繫不到廠商的情況，如果可能聯繫不到就不提交直接給企業發郵件你信么？

3.別人叫我女黑闊我真的很開心，嗯，我是虛榮，但是我真的在讓自己更有資格成為別人口中的女黑闊。

虛榮心，炫耀，專業實踐，還有獎品，什麼社會責任感的- -，我表示我沒有。

「白帽子的守則」第一條：

報告漏洞。

"Tell me something, Varys. Who do you truly serve?"

"The realm, my lord. Someone must."

說到白帽子就需要提到黑客，在公開課里有個很有意思的視頻叫「僱傭黑客」，看完這個我想你該明白，白帽子為什麼會報告漏洞。

對於白帽子來說，無外乎這幾種。

1、技術提升；

2、個人價值體現，我要改變世界有木有！

3、為了興趣；

4、為了利益。

美莎·格倫尼：僱傭黑客！MishaGlenny_2011G-720p視頻

錢

很多很多種了，包括虛榮心、技術挑戰、獎品、入職能力證明（這個汗但真的存在）等，上面很多朋友都有傾訴，但其中一種目的很特殊。

比如你用了某家的服務或者產品，因為你與其他普通用戶不同，你有一定的安全基礎並能看到一個產品的安全隱患，這個隱患不僅能影響他人也能影響到你自己。但是你並沒有能力解決這個問題，所以只有選擇通知廠商，讓企業得知這個情況並且處理掉，這就是其中一些白帽子提交漏洞的動機。

幫助別人的同時也是在幫助自己，聽著好像很虛偽是么？我給大家舉個非常實際的例子吧。

眾所周知，烏雲平台運行在新浪的SAE上，如果我是烏雲的管理員會非常非常重視自己網站的安全，但我無意發現了SAE存在漏洞可以黑掉任意用戶站點，那我第一想法絕對不是為其他用戶擔心（真心話，人都是自私的），我會非常擔心烏雲出問題，立刻將漏洞情況詳細寫好通知給新浪進行處理。

虛不虛自己有體會的人最清楚了，大概就是這麼個意思啦，說了下我自己的看法~

為了穿梭枷鎖的快樂,需要別人的認同

這是一個公益事業。看到馬路上老太太摔倒了，你扶是為什麼，你不扶是為什麼？

有時候日站日到雞肋站，比如用戶密碼加密很難破解，漏洞影響不大，沒法深入等等，就把洞報到烏雲刷刷rank。當然真正有價值的洞是不會放上去的，太可惜了，呵呵

諸位白帽可以來鄙視我了，我不是白帽也不是黑帽，我是灰帽子。好玩的洞自己留著，雞肋的洞報上去。

合理合法的掙錢……

提升自我價值，刷刷存在感

1.我覺得可以收得名,證明自己,讓別人知道有這麼一個人,換工作方便

2.提交給廠商的時候,可以獲取到一些獎金,獎品什麼的

3.學到更多的知識,匿了

Be cool

玩黑玩多了，絕對沒意思，發到wooyun順便可以刷刷rank

知道一個烏雲核心白帽子～一邊提交漏洞～做眾測～一邊接單～做流量～～他說烏雲是我洗白的地方～黑白通吃～說白了就是為了錢。。。。。。

0。0

為了裝逼為了存在感順便收點人民幣

為了洗白或者裝逼你看放出來的都是什麼鬼？NDAY了！要不就是不缺錢憋的慌要找存在感的那種。至於說為了利益？別逗了就那幾百幾千的我都替他們丟人要賺錢絕不會到這上面去賺