当前道德黑客面临的竞争非常激烈

admin

102322
文章

87
评论

2023年4月26日08:28:17评论22 views字数 2933阅读9分46秒阅读模式

当前道德黑客面临的竞争非常激烈聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

本文是 Detectify 众包平台对道德黑客 Sebastian Neef （昵称：Gehaxelt）的采访节选编译。凭借好奇心、友好竞争和乐于助人的态度，Sebastian Neef 建立了作为道德黑客和网络安全专家的成功职业生涯，并获得该平台的“绝佳反馈者”奖项。该奖项旨在表彰其乐于助人、态度良好和积极主动的精神。

（D代表Detectify；G代表Gehaxelt）

D：你最开始是如何对道德Hacking 感兴趣的以及是什么促使你将其当作职业？

G：我8岁的时候获得了第一台电脑。当时我只是在用它玩一些二维的电脑游戏。14岁时，父亲向我展示了如何使用HTML和CSS搭建简单的网站。我非常兴奋，有了继续学习的动力。在某个时候，开始为自己所玩游戏编写自动化机器人。虽然说这并不是hacking，但它让我开始打破常规思考问题。

两年后中学毕业后，臭名昭著的匿名者组织活动遍布主流媒体。当时我问自己，“hacking （网站）有那么容易吗？还是这些黑客只是技术高超？”此后，我开始进行调查，晚上都在浏览并学习关于 web 安全和多种 hacking 技术的知识。

我发现，如果知道一些技巧，hacking 真的非常简单。至少那时候（2010年前后），很多 web 框架、web开发人员和系统管理员的安全意识并没有现在这么高，因此能毫不费力地找到很多经典漏洞如SQL注入、XSS等等。

2011或2012年的某个时候，我第一次接触到负责任披露和漏洞奖励项目，它们为了创造了非常好的机会：我能够合法地在真实的目标而非一些模拟的hacking 挑战中测试自己的技能和知识。当然，我开始查找一些值得报告的漏洞，并入选几个名人堂（包括谷歌、Paypal和推特等）。这种感觉很棒，一些项目还会给一些金钱奖励，这也是一种很不错的推动力。尤其对将要入学的人来说，凭借自己的爱好挣一些额外的钱感觉非常好。

那些年 hacking 时，我常常想象网站开发人员和自己之间的“挑战”——换言之，他们能够写出我无法 hack 的代码吗？我能够做得比他们好吗？很多时候，这些问题的答案是肯定的，而肾上腺素负责完成余下部分（哈哈）。

不过，一人做事有时候会让人烦闷。幸运的是，漏洞奖励社区开始在推特和各种在线聊天群组中显现，所以通过这些渠道，我开始和别人交流 writeup、技术和想法。尽管竞争激烈，但是一个正向的反馈循环，而且大家之间的协作也很有意思。

最终，我们帮助企业加固网站安全，保护客户数据。

D：你采取了哪些措施后来保证自己作为道德黑客的工作是合法且道德的？

G：遗憾的是，并非我常遇到的所有网站都配备负责任披露或漏洞奖励计划。因此，2012年我创建了项目 internetwache.org。这个项目主要是为了查看安全意识较低的企业或网站管理员如何对待我的漏洞通知。另外，由于我自己也常用这个服务，我想要自己的数据免遭恶意攻击。

由于德国的“hacking 法律”禁止在未授权的情况下开展安全测试（只要从 [email protected] 发送邮件就能让我入狱），我需要更加清楚自己的意图性质。因此，这个项目的域名和网站是为了传播我自己良好的道德意图。这个网站是为了详细介绍我是谁，以及说明我测试的目的是为了帮助企业提升安全态势的事实：我测试的目的只是为了寻找漏洞症状，而不是实施利用或者跳转到我不应该查看的部分。

从法律角度来看，在法庭面前这一意图不会改变任何事情，但作为有点幼稚的青少年我认为没有人会起诉试图帮助他们的人。但需要重申一点：我从未试图利用漏洞；只是寻找症状（例如更改参数时的SQL出错信息/页面行为、输入某些标签时崩溃的HTML等）。同时，我确信我发送的邮件语气良好且从未要求回报。

这一办法似乎奏效了：多数所接触的人们都以同样友好的语气回复，感谢我指出漏洞，甚至有时候会主动表示谢意。我所经历过的最糟糕的回复是被无视或者被告知不要用此时打扰收件人。

回到问题，我认为了解边界非常重要。近年来，我们已经听过一些安全研究员做得太过而引发麻烦的一些故事。如果尊重计划范围，那就应该尝试在执行测试时不要进行破坏，而且不要尝试强求任何东西（即“请给我赏金”），结果往往是双赢的。

当然，我的经历可能是幸存者偏差，可能不适用于其他人，所以可能无需全盘接受。

最终，一切都归于信任。你是否值得信任，不去跨过有形的或无形的边界？你是否能够说明自己的善意？

在所有情况下，意识到负责任披露和漏洞奖励计划的规则并且全部遵循是很有帮助的。如果不确定，那就先问清楚。