专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


游侠也想和大家谈谈白帽子的“友情测试”

2016-07-01 07:39 推荐: 浏览: 128 views 评论Comments Off on 游侠也想和大家谈谈白帽子的“友情测试” 字号:

摘要: 这几天某白帽子“友情测试”世纪佳缘被抓的事情闹的沸沸扬扬,每天打开朋友圈都至少看到几篇写这事情的文章。既然大家都在说,那游侠我也说说找我的观点。 1、 没有授权就测试,哪怕是“友情测试”也是不合法的。正规的安全公司为了规避风险,都有一整套的措施,如必须客户发授...

这几天某白帽子“友情测试”世纪佳缘被抓的事情闹的沸沸扬扬,每天打开朋友圈都至少看到几篇写这事情的文章。既然大家都在说,那游侠我也说说找我的观点。

1、 没有授权就测试,哪怕是“友情测试”也是不合法的。正规的安全公司为了规避风险,都有一整套的措施,如必须客户发授权函并盖章,若扫描件就用单位后缀名称的邮箱发送等。大概是下图这样子:

1

2、 很多人举例子用“我家用了一把古老的锁”,你未经我同意来到我家看了一圈,可能看到了我家里的钱,或者看到了我家人在洗澡。然后告诉我,你家锁有问题……这样的例子。这并不恰当——大网站注册人数动辄几百万、甚至几千万,公众把一些敏感信息放在上面,这些大网站有权利、有义务保证这些信息的安全,然而……呵呵。我们撇开搞黑产的那部分人,绝大多数白帽子是测试有漏洞之后,提交给第三方平台的,为的也是保障几百万、上千万注册用户的权利,既然网站不做为、不想做隐私保护这些事情,白帽子这样曝光个人感觉是利大于弊的事情。另外,这些漏洞,网站所有方自己能解决多少?如果有一天你因为A网站、B网站、C公积金网站、D汽车4店的信息被黑客综合整理了下,把你家人的钱骗走了,你还这么轻易的说不关你事?一句话:这是大家的房子、大家的锁,保护公众信息安全,人人有责。而白帽子,恰恰是走在最前面的那些人。

3、 此前圈子里有人写过一篇文章,大意是很多国外机构在盯着国内的大型漏洞披露平台,一旦有漏洞就直接去拖库,获取我们的敏感信息。里面有的是政府部门的敏感资料,做个大型社工库,交给情报机构……就能获取大量我国的敏感资料。由于工作的关系,我们也会给主管部门或经客户授权后去做漏洞挖掘、验证,我还真有几次就从漏洞平台找到相关资料,然后“隔山打牛”,拿到权限。所以,其实这类平台本身发布信息也存在风险,一些别有用心的人会从这里挖到信息!

4、 让大家看一条新闻,刚刚看到的(http://www.youxia.org/2016-6-27-235437.html):

2

你不好好保护网站信息,就会被削减薪水或奖金——当然,英国人也仅仅是“推荐”,并未实施。我国也有一些相关法规,但执行效果几乎是“零蛋”。(如“82号令”中有:“互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施:防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施”,但是很多政府部门也是服务器在裸奔,每天都有政府部门的网站漏洞被曝光,谁负责了?)所以,我们的路还很长。如果真的一些大型机构,如银行、证券公司,出现泄漏事件的时候,如果信息安全部门提交过风险说明文档,但是领导没有批准解决这个问题,就要担责(关小黑屋或罚钱),那这时候大环境就真的好多了。

好了,本来以为敲两三百字的,结果居然写着写着就写了这么长,这不好——毕竟今天是2016年7月1日了,下半年了……时间过得这么快,我又浪费了大家3分钟的宝贵时间。

欢迎大家留言给我,我的微信是:cnbrian 感谢大家对游侠安全网、对 @网路游侠(新浪微博)的支持。最后:据说,关注本账号,并转发本条信息的,下半年可以转运……O(∩_∩)O哈哈~

联系站长租广告位!

中国首席信息安全官


关闭


关闭