補天漏洞平臺掌門人白?。河嘘P白帽子那些事 | 雷鋒網公開課

引子

總有人想從你身上得到一些東西。他們想得到你的名字、你的電話、你的住址、你的車牌、你的房產、你的社保號碼、你的愛好、你的消費記錄、你的GPS定位、你的戶籍信息、你的開房記錄、你的家人信息、你的所有歷史和你之所以成為你的全部密碼。

但是，他們想要了解你的一切，并不是出于好奇。你在他們眼中，只是一個符號。一個堆積起來可以換錢的冰冷籌碼。這些黑客們利用各種網站和系統的漏洞，從各個平臺竊取用戶的信息，并且高價賣給詐騙分子和網絡大盜。

正如小說中白衣如雪，來去如風的俠客一般，在我們身邊同樣存在一群這樣熱血涌動的人，他們不忍心看到這個世界沉淪，他們就是“白帽子”。

這些白帽子也許激情四射，也許木訥寡言，他們就像你我身邊那些普通的朋友，經歷著普通人的悲歡離合。只不過，在網絡世界里，他們像補天的女媧一樣，用一顆顆五彩石修復一座座賽博大廈的裂隙。

他們普通又神秘，他們低調又熱血。

漏洞平臺，正是白帽子聚集的戰場。他們在這里向企業提交漏洞，守衛互聯網的安全。這次硬創公開課，雷鋒網宅客頻道請到了補天漏洞平臺掌門人白健、補天平臺首席美女運營小花還有360企業安全市場部美女徐粲然，他們在一場顏值爆表的直播中為我們還原了真實的補天白帽子。

【小花、白健、徐粲然】

以下是直播文字要點整理：

我們為什么需要白帽子？

白?。浩鋵嵲谖铱磥碓谀壳罢麄€體系建設不是特別健全的情況下，我們個人的信息安全、企業的信息安全甚至到國家的信息安全都會受到一些危害。我不知道大家有沒有關注2016年徐玉玉的案件。

徐玉玉的案件其實就是犯罪嫌疑人杜天禹利用某一個招生網站的漏洞拿到了一批高考學生的信息，然后又把信息賣給了另外一個犯罪嫌疑人陳文輝，陳文輝雇人假裝教育局的一些工作人員騙取了瞿玉僅有的9900塊錢學費和生活費，最后導致瞿玉這位同學傷心過度最后不幸去世了。

這件事情受到廣大網友的廣泛關注，案件很快偵破，整個事情也公布給全社會。通過這件事情我們可以切身感受到，在網絡安全方面對個人信息安全的危害已經到了一個非常嚴重的地步。

說到企業安全上，美國的第二大保險公司 Allstate，它的三千萬的保民信息以及他的員工信息全部被人扒走，其實我覺得這不光是影響這家企業，影響到他的保民，甚至影響到美國對國家的一些公民信息，這種危害是非常嚴重的。

360 企業安全集團董事長齊向東曾重述了習主席的觀點：網絡安全為人民，網絡安全也得靠人民。那網絡安全靠哪些人民呢？其實這個人民中就有一個特殊的群體我們俗稱白帽子，他們有機會有能力幫助大家來解決安全問題。

小花做補天的運營，她就跟白帽子這個群體關系非常好。所以接下來由你來介紹一下白帽子的情況。

白帽子是什么樣子的？

小花：齊總給白帽子搖旗吶喊的講話在我的朋友圈已經被刷屏了，我特別為我的白帽子朋友們感到很有成就感。因為他們在做一件正義的事情，現在補天已經有 31154 名白帽子了，這個量是非常大的，他們已經維護了四千多家廠商的信息以及網絡安全。

在補天有我三位關系特別好，我對他們也很了解的白帽子?？傆泻芏嗳ν獾呐笥讯荚趩栁?，“小花，什么是白帽子??？”我覺得我有必要說一下我這3位朋友神奇的故事。

其中一位叫華不再揚，他在深圳工作。當時《安在》發表了一篇有關華不再揚的報道，名字叫做《從鞋廠工人到漏洞達人，90后游戲少年的逆襲》。他是一個特別靦腆的男孩，在我第一次見他的時候。但是，他給我們白帽子開講座講的議題特別的干，很多白帽子都在做筆記。后來跟隨著他的一些采訪，我發現他竟然是從小打游戲的人。

他和他女朋友是大概網戀了5年，然后線下見面之后慢慢確立關系直到結婚，現在已經有了寶寶。

第二位叫做衰大。衰大是我在補天白帽子里面比較欣賞的一類了，不是因為他的顏值，而是因為他很紳士。

我為什么對他有這么大的印象呢？是在去年4月9號，360 眾測發布會的時候，所有白帽子都背著一個雙肩包來，只有帥大一個人拎著一個行李廂，當時我還特別嫌棄，我說為什么只有兩天你還拎一個大箱子過來呢？他打開里面，都是給我們帶的新疆的切糕。那會兒新疆切糕非常貴的。他帶著一箱子的切糕還有大棗，還有葡萄干，把我們感動壞了。我覺得這個人好有心，后來一接觸才發現他確實挺暖的。

還有一位白帽子 hckmaple，雷鋒網《宅客頻道》對他做過專訪，前幾天很多人都在轉載他的故事。據我所知這個帖子發出去之后有很多男生問他聯系方式的。

他是一個跨專業的人才。他的專業是硬件，但是他就選了做一個白帽子。他的故事特別熱血，有一段時間我找他聯系，希望他給我們錄制一個課程。他說他在醫院，我就特別好奇，看著特別強壯的一個人怎么能去醫院呢？原來他是患了中耳炎復發然后去醫院診治，但是即使在那個時候，他的排名仍舊是補天的第二。

什么樣的人能成為白帽子？

白?。篽ckmaple 是我們平臺上少有的科班出身的白帽子。其實我們白帽子同學很多人都很單純也很優秀，但是有點遺憾的是很多同學的學習不是特別好，我覺得可能是我們的培養體制上不是特別的完善，很難兼容這部分人。所以我在這里呼吁我們的教育體系能給白帽子更多的機會，這樣你才能不拘一格。另外，我們的企業在招聘的時候也不要把標準定的太高。

我昨天還看著朋友圈，有一個企業在招白帽子，限制的是一定要985、211的畢業生。這要求很高，我們白帽子沒有幾個能達到這個水平的，其實他們能力是很強的，所以我覺得一方面是我們的教育體系可能要對這部分人多一些，作為一個兼容性，有更多機會。另外，我也呼吁我們的企業在目前的環境下可以給白帽子更多的更寬松的一個工作環境。

和白帽子在一起時間久了，我確實切身地感受到大家都非常單純，也非常的具有正能量，也很有抱負。所以其實可以說每一個白帽子背后都是一段屌絲逆襲的故事，特別特別有趣。每一個白帽子也都希望自己從一個小人物成長為安全大人物，都有自己的夢想之路。我們做補天平臺這個事兒也是希望給大家創造這么一個環境和機會，實現夢想。

白帽子可以獲得什么獎勵？

白?。?span style="line-height: 1.8;">對于白帽子來說，給企業提交漏洞有兩方面的收獲：

第一，安全能力得到體現和尊重。很多企業客戶對白帽子交上來的漏洞都表示非常感謝，甚至還有一個客戶很典型，他請了一個白帽子在上海一起吃了一頓。當然，有時候這種感謝白帽子是不敢接受的，以為是廠商要找他們麻煩。但其實我覺得特別多的企業已經認可白帽子的安全能力，也非常尊重他們。

第二，平臺也給白帽子提供了很豐厚的價值。物質，或者直白一點說就是金錢的回報也非常重要。補天平臺的獎金一直以來也是節節攀升，我們資深的白帽子在我們這兒也拿到了好幾十萬。

除了白帽子突出他的價值，得到我們獎金的回報以外，我們平臺也給白帽子提供了很多的法律相關方面的知識，讓大家及時去提醒，哪些事情是符合我們的法律法規，哪些可能不太好的，這也是很重要的。

我們不能一味地單純地講究技術，還得看目前的社會法律這塊。我們需要用正確的價值觀和方法來幫助企業，幫助國家，來解決網絡安全問題。

我們對大部分的企業服務都是免費的，補天平臺承擔一些運營經費，幫企業免費提供漏洞。可能還有少量的企業需要更高端的一些服務，所以會收一些增值的費用來補貼補天的運營，但是補天的平臺我們是不追求盈利的。公司也不要求我們賺錢，只是希望我們把這個公益的事情做的更長久些。另外一方面，其實我們也努力找更多的行業界的同仁我們一起來辦一個開放，大家互相合作的平臺。白帽子的群體是可愛的一群年輕人。我們想把他們引導好、組織好，一起為網絡安全、企業安全、國家安全做點事兒。

入駐補天的標準

白?。鹤鳛槠髽I，只要免費在我們網站注冊一下，我們認證了網站所有者的身份就可以。你會發現如果網站有漏洞補天是免費推送的，這是一個最基礎的服務。如果大家想通過白帽子主動收集更多的漏洞，就需要承擔一些白帽子的獎金和稅費，我們平臺不會額外收取其它費用。

在平臺的信息安全方面，因為我們是 360 旗下的一個品牌，所以在安全防護上和 360 的要求是一致的。另外，我們做安全時的假設前提就是認為存在信息泄露的風險，所以我們在管理上面額外做了很多的要求。

首先，我們招聘員工時有很嚴格的要求，背景調查和工作領域等等。

其次，我們網站的后臺只有在我們的內網才能訪問的。

再次，我們員工的電腦全部裝了終端管控軟件，并且全流量鏡像和分析網絡流量。這樣就能有效地防止員工出現失誤導致信息泄露這種事情的發生。

另外，我們的漏洞審核也是分為幾層進行。一線員工審核完成之后，還有上級的復核，避免審核的差錯，例如漏洞分類、評級的差錯等等。

同時，我們還積極接受白帽子的追訴或者企業對漏洞再進行進一步的確認，多維度交叉核實。

RSA 上最新的安全趨勢

白?。涸?RSA 安全大會上我和其他平臺的同行做了一些交流。我總結了以下幾個收獲：

第一，我們得有自信。我們的漏洞平臺，我們的白帽子群體不比西方國家運營能力差。

第二，我們還是要加強一些國際的合作，比如對一些通用型的漏洞我們可以建立一些通報機制來做一些修復。另外對于測試，我們也可以導入一些國際力量來做。同時我們也努力給核心的白帽子創造一些跟西方國家白帽子切磋交流的環境。比如 BlackHat 等會議，我們會組團和西方的隊伍進行演練。

第三，RSA今天的主題是“Power of OpportUNITY”，字面意思應該是機會的力量，但是它最后的“UNITY”是大寫的，也就是說這次會議想強調聯合。所以這也是我們這次去參會的一個原因，我們也希望聯合各方面，聯合國內同仁，聯合我們整個群體，甚至聯合國際一些國際的網絡群眾體。

現在整個網絡安全，我覺得國與國的邊界越來越模糊。根據我們 360 在 2016 年的網絡安全的報告來看，2016 年中國網站遭受的攻擊中，百分之二十幾的比例是來自境外。另外，我們防護的網站中有30% 的境外網站也受到攻擊。所以這種邊界是越來越模糊的。

而且我們還同時看到，有一些不法分子利用自己的掌握的一些能力和技術潛藏在國外，反過來滲透我們的網站，做一些數據竊取、植入后門、敲詐勒索這樣一系列的事情。所以我們希望聯合國內外的所有力量一起來維護網絡安全問題。這是我自己這次 RSA 的一些收獲。

徐粲然：說到合作，為了和全球白帽、技術精英一起交流，補天平臺會在2017年3月30日在深圳舉辦首屆補天白帽大會。我們會邀請國內外知名白帽、技術精英、安全愛好者，與網絡安全相關主管機構和知名企業和機構的CISO一起參與，解讀當前網絡安全形勢和安全威脅，探討漏洞響應與防范方案，同時分享交流漏洞挖掘與安全功防等沿議題，到時候也歡迎大家來玩。

本期公開課完整視頻請戳這里

本文由雷鋒網宅客頻道獨家首發（微信搜索：宅客頻道）

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。