白帽子在大众看来是一个极其神秘的群体。他们在网络江湖上纵横驰骋,十指舞动如飞,武功出神入化,行为变幻莫测。他们是掌握超强的计算机技能的极客,有超强的分析、探索能力,既能自我防御,又能主动渗透。他们是常活跃在热门话题中,又远离大众生活。他们是什么样的人?过着怎样的生活?普通人怎样成为白帽子高手?白帽子高手挖漏洞有哪些秘笈?
解开这些疑虑之前,我们先了解一下故事的起源。
4月20日,国内最大最专业的i春秋SRC部落,联合同程SRC,发布“首届部落守卫者漏洞提交任务(代号G001)“,集结精锐白帽子成为i春秋部落守卫者联盟的一员,在需要渗透测试的目标域名站开始任务,并在同程SRC平台上提交漏洞,根据提交漏洞的危害程度和数量计算贡献值。经过23天的激烈角逐,fakl、无敌情痴、北风飘然分列排行榜前三名,任务完美收官。
同程旅游是中国先进的休闲旅游在线服务商,年服务用户突破一亿,做好网络安全风险防控,保障亿万用户的信息安全至关重要。
本次活动非常出彩,报名人数之多、创新程度之大、漏洞提交质量之高、厂商反响之佳,超出了预期效果。
5月17到19日,排行榜前三甲和同程安全负责人张维垚来到i春秋学院录制公开课,分享成为白帽子高手的历程、挖漏洞详细经验、本次活动的收获、对有志从事网络安全行业的年轻人寄语。
fakl是南邮一名大三学生,本次任务积分735,遥遥领先其他选手。他说:“初中的时候,游戏账号被盗,接触了一些木马、远程程序,然后遍在各网站学习Web安全。第一次挖漏洞的经历非常偶然,之后就越来越有自豪感直到成为兴趣。”对于这次夺魁经验,他谦虚的说:“要学习的地方还有很多,挖漏洞要有耐心和细心,测试要尽可能全面,优秀的白帽子一定要具备安全理念、安全攻防能力、自己开发工具和深入挖掘漏洞的素质。”
无敌情痴表示:“挖漏洞天赋很重要,但有热忱更加重要,平时要注意知识积累和持续的学习。i春秋的课程和在线实验环境非常好,海量的课程让我学习到了网络安全的前沿科技,实验环境让我能把知识和实践高效结合。”
白帽子是一群简单热情的年轻人,他们一方面是兴趣使然,一方面是挖漏洞满足了心中的英雄主义情怀。北风飘然是一名23岁的网络安全从业者,他说:“首先你要有正确的价值观,能拒绝诱惑、拒绝黑产。然后你要了解漏洞的原理,收集信息,进行横向扩展,挖漏洞要有脑洞,有逆向思维。“
同程安全负责人张维垚对本次活动进行了高度评价,他说:“此前同程和i春秋,针对非信息安全从业者推出了兼具专业性与实用性的课程,深受学员们的喜爱。本次我们合作,在白帽子们的帮助下,同程发现了一些威胁用户信息的高危漏洞,这是我们最大的收获。今后同程会给白帽子更多更好的扶持,希望白帽子和同程一起成长。“
6月1日,《网络安全法》正式实施,明确了网络安全责任主体的义务,企业对网络安全的重视度极大提高。历年来我国高校学历教育培养的信息安全人才仅3万余人,而总需求量超过70万人,人才缺口达到95%。企业对网络安全对高水平、实战型网络安全人才求贤若渴,如何利用社会企业力量,打破传统教学的局限性,开辟创新的人才培养模式尤为重要。
2016年9月成立以来,i春秋SRC部落已经汇集了包括腾讯、百度、蚂蚁金服、微软、360等在内的四十余家主流厂商。一方面,通过i春秋独创的在线课程+在线虚拟实验+攻防对抗实训的方式,为网络安全爱好者提供一个专业的学习平台。另一方面,SRC部落鼓励厂商共享资源,积极发布任务和比赛,让白帽子得到了充分的锻炼。目前,数十万用户高频次使用i春秋平台,利用工具,把破坏网络秩序的行为约束起来,为SRC厂商提交了高质量、数量众多的漏洞,并在实践中收获了知识、成长、经验和收益。
目前,越来越多的知名互联网公司都和i春秋建立了合作伙伴关系,希望更多白帽子能够参与企业网络安全建设,规避网络安全风险。未来i春秋将继续探索企业网络安全人才培养新模式,汇聚、培育、选拔白帽子精英,守护互联网安全。
