微信号:a301zls

介绍:关注互联网安全和白帽子黑客成长,分享安全价值,驱动安全未来.国内唯一日更的个人安全自媒体平台,301一直在路上.

安全观点 | 别踩白帽子上位、也别拿未授权说事

2016-06-26 20:36 301

前言:

昨天安全观点|“白帽”黑客被抓事件,我想说....这篇内容0点发后,引发了很多业内同仁的讨论,也看到了不少安全从业者参与了整个话题的讨论,而301看到的情况,更多人利用这件事情打压着这个群体,当然,写这篇内容的初衷不是为了给某些人洗地,而是不想让真正意义的白帽子凉透了心


本篇文章定义的白帽子:“白帽子从用户层面角度发现了企业的漏洞,并且告知漏洞细节、过程。出发点是帮助其解决问题,而不是带有目的性的攻击。不影响业务运行、不破坏数据、不作违规的行为是基本原则。”


另外,奉劝那些“伪白帽子”—“利用安全技术进行作恶,并且损害企业、第三方平台的利益。”


不要以为自己做坏事,就没有人知道,人在做,天在看。


“不作死,就不会死。”


无论这次事件的当事人究竟如何,第三方平台是否存在问题,无论这群民间力量的出发点究竟如何?我们需要正视的是以下问题:


而我们需要做更多是给安全爱好者、安全新人提供好的环境、成长的机会。


一味踩着那些白帽子上位,从而来证明自己能力的人,没什么牛逼的。真正牛逼的人,是通过自己的能力帮助更多人,而不是踩着众人,万人之上。


什么叫未授权?什么叫授权?


如果非要说第三方漏洞平台是未授权,反之说SRC平台是授权的,那么,我们来谈谈真正法律上的授权。


企业出具书面的协议,在指定时间里、授权指定单位或者实施人,对目标进行授权检测行为,并且明确测试的方式、操作规范”。


那么问题来了,SRC平台给白帽子签署过授权协议??SRC平台上也有违规操作的被抓的?有人讨论么?然后,究竟这些是否有意义?


无论是乌云为代表的第三方漏洞平台、还是众测平台、还是安全应急响应中心平台(SRC),出发点是好的——更多给安全人员提供展示自己能力的机会。


当然,作为平台方,无论是第三方漏洞平台、众测平台、安全应急响应平台相关机制未来都需重新优化,只有更好的完善了相关机制流程,才能留着那些真正想做好事的白帽子。


我的感受跟多数人一样,如果政府、教育机构、媒体、企业们、顶级安全专家们能给更多的引导、提供更多学习机会,安全领域是否会更好?


借用TK教主在公众号(皮相)写的这段话:“每一朵乌云都有一道金边,每一顶白帽都有一道黑边。希望“白帽子”能学习一些法律,保护好自己;希望企业能想明白道理,知道自己真正的敌人是谁。”


当然,写这些内容不是我的目的,只是想写写自己的心声,301不是圣人,作为安全新人,我更希望的通过自己的有限的能力去帮助更多人。


最近的话题,太伤感了,明天出篇《黑客独白 | 白帽子做女友的五大好处!》女白帽投稿,缓和下氛围。


301强烈推荐内容,想必您会喜欢:(点击阅读原文关注知乎专栏)

1、安全观点:企业信息安全十大痛点,你中招了?

2、成长型互联网企业该如何构建安全团队—第一季

3、这才是互联网与安全团队需要的几种人才!

4、白帽子黑客:EX,还记得我们一起去太平山顶的约定么?

5、少年黑客:我的初恋女友,你在哪里?

6、开春巨献!全球TOP500安全公司到底在做些什么

7、2015年至今国内信息安全领域那些投资那些事

8、301:浅谈互联网安全现状与攻击趋势

9、招人必看!301浅谈国内安全人才薪酬现状

10、301:从安全角度浅谈云计算服务平台现状与发展

长按二维码,关注301在路上。

内容&商务合作联系微信:2036234

 
301在路上 更多文章 WooYun背后的阳光 乌云:2015年P2P金融网站安全漏洞分析报告 XcodeGhost事件后续:Xcode同病毒作者“UnityGhost”后门预警 短信“木马” 反黑的故事 github 上提交了公司代码怎么挽回安全影响?
猜您喜欢 开场白 作为官方 Android IDE 的 Android Studio 有什么尿性? Ceph管理节点故障mds迁移到存储节点 【职场快讯】上海德邦物流武汉达内招聘,7天27名学员斩获OFFER YY、唯品会、美图秀秀这3个细分领域的老大,如何获得种子用户的?