英雄聯(lián)盟維護(hù)公告

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇英雄聯(lián)盟維護(hù)公告范文，相信會(huì)為您的寫作帶來(lái)幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

英雄聯(lián)盟維護(hù)公告范文第1篇

在

對(duì)阿里進(jìn)行常規(guī)滲透測(cè)試時(shí)，“90后”白帽子何詣?shì)钒l(fā)現(xiàn)阿里云盾的搜索引擎存在未授權(quán)訪問(wèn)漏洞。不過(guò)，這個(gè)漏洞危害不大，當(dāng)他嘗試進(jìn)一步測(cè)試有沒有其他漏洞時(shí)，發(fā)現(xiàn)阿里的安全人員已經(jīng)發(fā)現(xiàn)了漏洞并修補(bǔ)了。這樣的漏洞查找對(duì)白帽子而言是家常便飯，徒勞無(wú)功也是常見的結(jié)果。

然而，今年4月12日，“白帽子”袁煒因涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪被批捕的事件，讓白帽子們措手不及，挖掘漏洞的法律爭(zhēng)議使得“白帽子”這個(gè)群體也越來(lái)越引發(fā)各界關(guān)注。

成為白帽子很普通

在網(wǎng)絡(luò)世界中，白帽子是一個(gè)“來(lái)無(wú)影，去無(wú)蹤”的存在。何詣?shì)氛f(shuō)：“我挖掘企業(yè)的網(wǎng)站安全漏洞時(shí)，基本不會(huì)留下行跡。換言之，如果我不說(shuō)，他們根本不知道我來(lái)過(guò)。”

另一名白帽子張坤向記者證實(shí)了這一點(diǎn)，“確實(shí)是這樣，企業(yè)通常不會(huì)發(fā)現(xiàn)我們對(duì)他們的網(wǎng)站進(jìn)行了滲透測(cè)試。”張坤是何詣?shì)返呐笥眩诮鹑诘谌綇氖掳踩ぷ鞯乃彩且幻媛毎酌弊印?/p>

除去白帽子這個(gè)身份，何詣?shì)返穆殬I(yè)是成都一家大型數(shù)據(jù)公司的專職網(wǎng)絡(luò)安全工程師，收入不菲，生活優(yōu)渥。談及為何對(duì)網(wǎng)絡(luò)安全感興趣，并成為一名白帽子，何詣?shì)犯嬖V《方圓》記者：“少年男孩，總有一顆想成為黑客的心，卻苦于不知如何入門，所以最初我并未關(guān)注網(wǎng)絡(luò)安全問(wèn)題，若不是一次意外，我現(xiàn)在最可能是一名‘碼農(nóng)’。”

何詣?shì)房谥械囊馔馐悄程煸谫N吧里看到某位大牛記錄自己的黑客生涯，“他的經(jīng)歷看得我熱血沸騰，” 何詣?shì)烦绨莸卣f(shuō)，“當(dāng)你看到一個(gè)牛人展示他的才華的時(shí)候，你就會(huì)想變得跟他一樣。”然而，他并未經(jīng)過(guò)專業(yè)的網(wǎng)絡(luò)安全知識(shí)的學(xué)習(xí)，“我完全是野路子出身，我是從泡中國(guó)紅客聯(lián)盟開始學(xué)習(xí)安全知識(shí)的。” 何詣?shì)氛f(shuō)。

然而，如今何詣?shì)吩诿耖g著名漏洞收集平臺(tái)漏洞盒子上卻是小有名氣，在排名榜上，他穩(wěn)定在在二三十名之間，而漏洞盒子有近兩萬(wàn)名的注冊(cè)白帽子。他曾經(jīng)挖出某航空公司內(nèi)網(wǎng)、江蘇十幾家銀行的安全漏洞，得到了這些廠商的致謝和不菲的獎(jiǎng)勵(lì)。

張坤成為一名白帽子，完全是靠興趣。“我在大學(xué)的專業(yè)是網(wǎng)絡(luò)工程，但是早在大一的時(shí)候，我就對(duì)網(wǎng)絡(luò)安全產(chǎn)生了興趣。盡管二者都帶有‘網(wǎng)絡(luò)’，但是卻是兩個(gè)不同的領(lǐng)域。”“在興趣的指引下，我大量地閱讀相關(guān)書籍，不斷地與人切磋交流，不斷地嘗試挖掘網(wǎng)站安全漏洞，剛開始的時(shí)候沒有任何收獲，直到有一天我挖掘出一個(gè)企業(yè)的安全漏洞，我才從心里認(rèn)為自己真正成為了一名白帽子。”

何詣?shì)返却蠖鄶?shù)白帽子認(rèn)為自己一點(diǎn)都不神秘。在他們看來(lái)，他們跟普通人并無(wú)差別，只是自身興趣愛好不同而已。

挖掘漏洞進(jìn)化史：從手動(dòng)到自動(dòng)

何為網(wǎng)絡(luò)安全漏洞？北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江認(rèn)為：計(jì)算機(jī)網(wǎng)絡(luò)、硬件、軟件、服務(wù)或者是管理存在弱點(diǎn)，這個(gè)弱點(diǎn)能夠被別人利用來(lái)進(jìn)行攻擊，即為用來(lái)實(shí)施威脅的落點(diǎn)，就是網(wǎng)絡(luò)安全漏洞。

那么白帽子是如何挖掘漏洞的呢？

何詣?shì)犯嬖V《方圓》記者他如何發(fā)現(xiàn)的第一個(gè)漏洞。那是一個(gè)越權(quán)漏洞，“我剛開始嘗試找漏洞的時(shí)候，并沒有確定要找哪些廠商的漏洞，只是通過(guò)搜索引擎搜索關(guān)鍵字，也就是‘撒網(wǎng)撈魚’這種模式，通過(guò)在使用搜索引擎時(shí)的關(guān)鍵字設(shè)置（如搜索inurl：user_add.php，就可以查找存在身份驗(yàn)證漏洞的網(wǎng)站），就可能會(huì)發(fā)現(xiàn)某些未做身份識(shí)別驗(yàn)證的頁(yè)面，可以修改網(wǎng)站首頁(yè)顯示的新聞、圖片、管理員信息，可管理數(shù)據(jù)庫(kù)，甚至可以拿下網(wǎng)站服務(wù)器權(quán)限……我在搜索到頁(yè)面的第二、三頁(yè)的時(shí)候，就發(fā)現(xiàn)了這樣一個(gè)漏洞，當(dāng)時(shí)心里非常激動(dòng)，仿佛打開了通向新世界的大門，從此一發(fā)不可收拾。”

第一個(gè)漏洞讓何詣?shì)泛苄老玻撬⒉环裾J(rèn)這只是最初級(jí)的挖掘漏洞的模式。“現(xiàn)在挖掘漏洞，可以針對(duì)不同的功能進(jìn)行手工測(cè)試。”張坤補(bǔ)充道。

與何詣?shì)贰埨た孔詫W(xué)成為白帽子不同，畢業(yè)于中北大學(xué)信息對(duì)抗專業(yè)的石濤成為一名白帽子是順理成章的事情，他是科班出身。他向記者介紹了一種自動(dòng)的漏洞挖掘模式：白帽子利用自己寫的全自動(dòng)化掃描程序，關(guān)注每天最新的廠商未發(fā)現(xiàn)的最新漏洞，然后把相應(yīng)規(guī)則添加進(jìn)自己寫的程序，填入域名，就可以自動(dòng)掃描網(wǎng)站。之后，再把掃描出來(lái)的漏洞進(jìn)行人工驗(yàn)證。“這樣的漏洞挖掘模式效率是相當(dāng)高的，也是很多業(yè)內(nèi)高手的常用手法。”石濤說(shuō)。

擁有挖掘漏洞能力的白帽子在確定挖掘哪些網(wǎng)站的漏洞時(shí)，帶有極強(qiáng)的個(gè)人色彩。

隨著技術(shù)的提高，何詣?shì)吩诓檎衣┒磿r(shí)已經(jīng)摒棄了“撒網(wǎng)撈魚”的原始模式，“現(xiàn)在確定挖掘目標(biāo)，已經(jīng)不是靠前期的關(guān)鍵字搜索了，有時(shí)是定點(diǎn)，比如說(shuō)買機(jī)票的時(shí)候就會(huì)對(duì)航空公司的內(nèi)網(wǎng)進(jìn)行一個(gè)測(cè)試；有時(shí)是圈內(nèi)朋友讓幫忙看看某個(gè)網(wǎng)站；有時(shí)是社會(huì)上的一些熱點(diǎn)現(xiàn)象涉及的網(wǎng)站；還有時(shí)是漏洞平臺(tái)的一些眾測(cè)項(xiàng)目。”而他有時(shí)一天就發(fā)現(xiàn)幾個(gè)漏洞，有時(shí)發(fā)現(xiàn)一些大型目標(biāo)，他會(huì)認(rèn)真研究，那時(shí)可能就一兩個(gè)月都沒發(fā)現(xiàn)漏洞。

身為某互聯(lián)網(wǎng)公司開發(fā)工程師的石濤在挖掘漏洞時(shí)，主要是偏重于互聯(lián)網(wǎng)企業(yè)，“身為一名IT開發(fā)工程師，相對(duì)于其他企業(yè)，我對(duì)互聯(lián)網(wǎng)企業(yè)會(huì)有更多的關(guān)注。” 石濤告訴《方圓》記者。

不同于何詣?shì)泛褪瘽瑥埨ご_定自己的挖掘目標(biāo)就容易多了，“我主要去一些有SRC（安全應(yīng)急響應(yīng)中心）的企業(yè)那里找漏洞，或者是一些在漏洞收集平臺(tái)注冊(cè)過(guò)的企業(yè)。”

挖了漏洞給誰(shuí)

白帽子挖掘出安全漏洞后，怎樣處置這些漏洞？事實(shí)上，官方與民間有很多漏洞披露平臺(tái)可供白帽子選擇。而選擇哪一種，不同的白帽子選擇各異。

據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部副主任、正高級(jí)工程師嚴(yán)寒冰介紹：自從2009年以后，多家漏洞平臺(tái)陸陸續(xù)續(xù)地成立，這些漏洞報(bào)告平臺(tái)擔(dān)負(fù)著搜集漏洞、處置漏洞相關(guān)任務(wù)。國(guó)家層面成立的漏洞平臺(tái)有CNVD、CNNNVD；民間漏洞平臺(tái)有補(bǔ)天平臺(tái)、烏云網(wǎng)、漏洞盒子等；另外有一些企業(yè)成立了自己的安全應(yīng)急響應(yīng)中心（SRC），建立了企業(yè)與白帽子之間的直接溝通渠道，比如百度、阿里、騰訊、網(wǎng)易、京東等等。

何詣?shì)吠诰虻穆┒创蠖嘣诼┒春凶犹峤唬案┒春凶拥娜吮容^熟”是他選擇漏洞盒子的最重要的因素，“但是，我還是更喜歡烏云的模式，因?yàn)椤酌弊印缟泄蚕恚鵀踉凭W(wǎng)是一個(gè)很好的共享平臺(tái)，它是很多‘白帽子’學(xué)習(xí)進(jìn)步的好地方，在那里可以學(xué)習(xí)到很多挖掘漏洞的技術(shù)和思路，會(huì)讓人腦洞大開。”

因?yàn)閺埨ぶ饕ヒ恍┯蠸RC的企業(yè)挖掘漏洞，所以他挖掘出來(lái)的漏洞可以直接提交給企業(yè)，相當(dāng)高效快捷。

石濤挖掘的漏洞主要提交給烏云網(wǎng)，烏云網(wǎng)會(huì)給烏云幣以及烏云排名成績(jī)作為獎(jiǎng)勵(lì)，利用烏云幣可以參看受限的內(nèi)容，買安全會(huì)議的門票，這有利于他的技術(shù)的提高。烏云排名更是實(shí)力的體現(xiàn)，排名對(duì)白帽子是一種榮譽(yù)的體現(xiàn)，“排名高在圈子里會(huì)受尊重，找工作也能當(dāng)成能力佐證。”石濤很看重rank值的高低。

白帽子根據(jù)自己的喜好選擇相應(yīng)的平臺(tái)，不同平臺(tái)的特色亦有不同。與烏云網(wǎng)逐步公開漏洞細(xì)節(jié)不同，補(bǔ)天漏洞收集平臺(tái)在漏洞細(xì)節(jié)的公布策略上較為靈活。補(bǔ)天漏洞收集平臺(tái)是隸屬于360公司的漏洞收集平臺(tái)。補(bǔ)天負(fù)責(zé)人告訴《方圓》記者，平臺(tái)提供公有SRC和私有SRC兩種公益的服務(wù)模式。公有SRC是漏洞招領(lǐng)模式的互聯(lián)網(wǎng)安全協(xié)作平臺(tái)，當(dāng)白帽子上交漏洞后，補(bǔ)天會(huì)進(jìn)行審核，確認(rèn)后會(huì)嘗試聯(lián)系企業(yè)，當(dāng)聯(lián)系不上時(shí)，會(huì)在網(wǎng)站上進(jìn)行漏洞招領(lǐng)，招領(lǐng)時(shí)只公布漏洞標(biāo)題，不會(huì)公布細(xì)節(jié)。企業(yè)只要免費(fèi)注冊(cè)就能認(rèn)領(lǐng)漏洞，并得到漏洞的詳情和修復(fù)建議。而補(bǔ)天私有SRC是為企業(yè)提供自建SRC服務(wù)的互聯(lián)網(wǎng)安全協(xié)作平臺(tái)，企業(yè)在線充值后可以自助漏洞征集公告，白帽子提交的漏洞由360仲裁并被企業(yè)確認(rèn)后，由企業(yè)發(fā)放獎(jiǎng)金給白帽子。

也有企業(yè)不重視提交的漏洞

由于經(jīng)常挖掘安全漏洞，談及漏洞的危害，何詣?shì)飞钣畜w會(huì)：“一些使用開放源代碼建立的網(wǎng)站或者網(wǎng)站安全防護(hù)設(shè)備的漏洞可以用來(lái)攻擊一批網(wǎng)站。因?yàn)檫@些網(wǎng)站的搭建用的是同樣的系統(tǒng)，只是由于界面有定制，所以表面看起來(lái)不一樣。但是一旦發(fā)現(xiàn)這種系統(tǒng)的漏洞，就能影響一批網(wǎng)站，可能導(dǎo)致的危害就是用戶信息被盜取，舉個(gè)例子，如果是金融系統(tǒng)的漏洞的話，就能修改銀行或者P2P金融系統(tǒng)中用戶金額這樣的敏感信息。”

“好在金融系統(tǒng)的安全意識(shí)比較強(qiáng)。”何詣?shì)方榻B，他發(fā)現(xiàn)銀聯(lián)等企業(yè)的漏洞并且提交后，這些企業(yè)很快進(jìn)行了修復(fù)，“還對(duì)我表示了感謝。”

但是，并非所有的企業(yè)面對(duì)漏洞的態(tài)度都是這么積極，“有時(shí)候我們白帽子發(fā)現(xiàn)漏洞，告訴企業(yè)之后，他們的態(tài)度相當(dāng)不積極，有時(shí)甚至可以說(shuō)對(duì)我們有敵意，可能這些企業(yè)認(rèn)為，我們白帽子不發(fā)現(xiàn)漏洞、不提交漏洞，他們就可以自欺欺人地認(rèn)為漏洞不存在，事實(shí)上，毫不夸張地說(shuō)，一旦漏洞被某些居心叵測(cè)的人利用，就可能會(huì)造成大范圍的數(shù)據(jù)泄露，危害用戶的數(shù)據(jù)安全，嚴(yán)重的可能會(huì)造成重大金錢損失。”何詣?shì)穼?duì)此很無(wú)奈，但是他坦承對(duì)此也是“束手無(wú)策”。

由于法律上對(duì)白帽子的行為尚無(wú)明確的界限，為了規(guī)避法律風(fēng)險(xiǎn)，他的底線是“不竊取數(shù)據(jù)、不擅自修復(fù)漏洞、不影響網(wǎng)站業(yè)務(wù)”，他直言：“我從沒把自己當(dāng)成拯救網(wǎng)絡(luò)風(fēng)險(xiǎn)的英雄，發(fā)掘、查找漏洞是我的興趣所在，但是我絕不會(huì)為了某網(wǎng)站用戶數(shù)據(jù)不泄露，而擅自去修復(fù)漏洞，因?yàn)檫@樣會(huì)觸犯法律。”

石濤曾經(jīng)挖掘出花瓣、人人、美團(tuán)、歐美斯教育等企業(yè)的安全漏洞，據(jù)他介紹，歐美斯教育的那個(gè)安全漏洞危害極大，這個(gè)漏洞基本上暴露了公司內(nèi)部的全部信息，例如公司員工信息、公司高管郵箱，更夸張的是公司高管的內(nèi)部系統(tǒng)的密碼跟郵箱密碼是同一個(gè)密碼，這樣公司面臨的風(fēng)險(xiǎn)極大，一旦密碼被泄露，公司的商業(yè)機(jī)密很有可能被竊取。而花瓣網(wǎng)的漏洞更為嚴(yán)重，不法分子可以冒充任意用戶登錄，登錄之后，用戶在花瓣網(wǎng)上的隱私就全部被竊取。