5月29日,2019补天白帽大会在上海举行。会上,补天漏洞响应平台对在漏洞挖掘数量、维护厂商数量、排名上升速度等几个方面表现突出的白帽子进行了奖励,现场颁出了最具价值能力奖、最具公益能量奖、最具潜力白帽奖等三个重量级奖项。
其中最具潜力白帽奖是今年新增的奖项,旨在奖励在补天平台获得了成长的白帽子,鼓励新手白帽子主动追求技术进步。白帽子huangfeihong、Geek_jeremy、y4q1anaa夺得这一奖项,他们在一年间积分排名提升了6000余名,个人技术在补天平台得到了巨大的提升。白帽子是对民间安全人员的俗称,在外界看来,这个称谓还多少有些神秘。会后,我们采访了获奖者之一Geek_jeremy,也借此走进白帽子的世界一探究竟。
白帽子群体里,学院派比较少,多数是凭着兴趣跨界进来的“草莽英雄”。Geek_jeremy是个90后,来自四川,某专科院校电气自动化专业毕业。毕业后,Geek_jeremy和同班同学做出了类似的选择,先去了某食品工厂实习。但是,真实的工作内容让Geek_jeremy很失望,“就是搬了半年面粉....”。幸好,半年后,Geek_jeremy开始跟着工厂的电气工程师做工厂设备数据收集,开始初步接触网络和计算机编程,逐步找到了自己真正的兴趣所在。更重要的是,正是在那段工作期间,Geek_jeremy认识了同在食品厂实习的z大佬。z大佬当时浸淫于网络安全技术,活跃于一些漏洞平台。
一个开关打开的白帽子世界
2016年,Geek_jeremy回到成都工作,业余学习了一些网站建设、树莓派等知识,自己动手做了一套“基于树莓派的物联网远程控制开关”,并将其连接至家里的电灯。“效果大概是从web页面点击开关,就可以控制电灯的亮灭。因为我不想其他人帮我开灯,所以我百度了一下,写了个login.php。完工之后分外欣喜,跑到某贴吧发了个技术贴。”然而第二天醒来一看,Geek_jeremy傻眼了“有个大佬回复:有个瑕疵,过了登陆,还顺便帮你开了灯”。Geek_jeremy感到百思不得其解,于是向自己在食品厂认识的白帽子朋友z大佬请教。
“z大佬给我解释了半天,我还是到下午才弄明白这是怎么一回事。但是搞懂之后,我感觉一扇全新的大门在我面前打开了。晚上拿着z大佬给我的sqlmap,对着我的树莓派做服务器的网站一顿怼。”
在这件事之后,Geek_jeremy对z大佬所代表的白帽子群体已经不止崇拜,更有向往。
正式注册补天平台
时间来到了2018年, Geek_jeremy上班闲来无事逛知乎,有个问题是“大家都用python来做什么?”“有个回答是挖洞..然后我就问他,如果维护了挖洞怎么赚点小礼品?这才知道了xx盒子xx银行以及补天!”
在经过一番比较之后,Geek_jeremy发现补天是个比较适合自己的平台。于是在3月底注册了补天账户,正式成为了一名白帽子,并提交了第一个漏洞,顺利获得了首笔奖金5库币。再后来,Geek_jeremy的白帽子之路就一发不可收拾了。
“补天是一个非常不错的漏洞响应平台,运营小姐姐们人都很好,审核大佬也平易近人。因为补天,我还认识了一大波白帽子小伙伴,我在他们身上学到很多很多。在加入补天之前,我只会sql注入找后台密码再找上传拿shell这样最初级的操作。补天的团队对于新人学习来说真的很重要。”好学的Geek_jeremy在补天快速成长,进步飞快。3月时注册时排名倒数,而到年底,排名已跃居TOP80。
对于未来,Geek_jeremy也有着清晰的打算。“我已经由电工、码农的职业转换为网络安全从业人员了,后期的话还是打算继续学习提升,在工作和补天漏洞挖掘过程中积累经验。”
补天平台是中国新一代网络安全公司奇安信集团旗下平台,自成立之始,就致力于搭建起企业和白帽子之间连接的桥梁。几年的运营实践中,补天平台为白帽子设计了完善的奖励体系和成长机制。像Geek_jeremy这样的白帽子,在补天平台已经超过5万。这群生活中特立独行喜欢单打独斗,但又身怀技艺的网络安全人才,在这里不仅能收获丰厚的实物奖励,还收获了技术上的提升,登上了成长的阶梯。
“网络安全的本质是人与人之间的攻防对抗,再聪明的机器也不能取代人的作用。”奇安信集团总裁吴云坤提出,新时代网络安全防护需要以人为核心,关注人在安全中的能力和价值,实现安全与信息化的“全面覆盖、深度结合、有效检测、协同响应”。