漏洞挖着挖着就成了行走的50W？

这两天朋友圈一直在转发，新的反间谍法。无非就是针对国家机关、涉密单位或关键信息基础设施实施网络攻击行为，明确为间谍行为。

现在的媒体吧，都是当年UC震惊部教出来。对于新闻专业，我还是支持张雪峰。天天搞得乌烟瘴气，唯恐天下不乱，毫无职业操守。

新的反间谍法原文链接如下：https://www.gov.cn/yaowen/2023-04/27/content_5753385.htm

总则第四条，明确写了  间谍组织及其代理人实施或者指使、资助他人实施，或者境内外机构、组织、个人与其相勾结实施针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动；

你不勾结 间谍组织及其代理人 你就在授权的情况下挖挖SRC 还能把你定义为间谍？

所以新的反间谍法对正常白帽子影响不大，反而是对某些经常把国内漏洞提交到国外平台上的人有一些影响，随时可以把你定义为间谍。

为什么大家都会有这样的担心？

这几年网络安全法律法规逐渐完善，翻遍四法一条例，以及国内各种HW规则，也都是对甲方的要求保护，对安全从业者（渗透），社会白帽子没有保护，甚至还有惩罚。当然这与行业有一定关系，正邪一念之间，谁又能确定提交漏洞的白帽子不是黑客，有没有利用漏洞干了其他的事情呢？

这里也给大家分享三个真实小故事：

故事1：我在闲鱼上帮导数据遇到了几个倒霉蛋

    有些人总想刷公益SRC，于是利用已公开的系统漏洞，利用网络空间搜索引擎，找相关系统。由于导出数据有限制，于是找了我，当然我也收了点小钱，突破导出数据限制，帮他们导出了想要的所有数据。这些人利用某一个漏洞批量刷，然后某一天，就被人找到了公司，质问这些倒霉蛋，为什么要攻击他们系统。好在大部分公司，并未深究，也没起诉这些倒霉蛋。

故事2：这两个月的地市HW经历

    今年的我参加的几个地市HW，规则和以往有些不一样。今年的规则只能打指定目标，没有新增资产，给的IP+端口，只能打这个IP+端口，而且给的资产基本都是有防护的，防守方还一直封IP。攻击时候使用主办方指定的VPN攻击，当然这个规则大家都懂，关键是比赛期间还查，抓非法攻击的。这VPN一用就是被封IP，然后就没法动了。比赛过程中，某IP A端口，调用B端口服务，B端口存在漏洞，我提交了，然后被警告，自行承担后果。

    真搞不懂，你让我去打，只能用指定出口IP，然后各种防护封IP，还要抓没用指定出口IP打的人。现在有些地方是不拔网线了，干脆不把资产上报或者服务下线，然后规则里面多了个不允许新增资产，就完事了。

故事3：HW没钱发怎么办，把红队抓起来。

    某地HW，G公司报名参加了，但G公司没人，于是商量花钱请了红队H打比赛。比赛结束后，G公司没钱支付，于是报警把红队H抓起来，理由是非授权渗透。

   

以上皆为真实事件，搞渗透，抓你不用反间谍法。

搞安全一定要低调一点，闷声赚大钱就是了，少混点娱乐圈。要么不要干坏事，要干坏事就把技术学好点，一桶水不晃，半桶油乱荡，有些人呀，渗透连VPN都不开，还想搞事情。

渗透一定要授权!!!  渗透一定要授权!!!   渗透一定要授权!!!

原文始发于微信公众号（网络安全透视镜）：漏洞挖着挖着就成了行走的50W？