测试发文 BLOG.91ie.cc2

本人博客地址  http://blog.91ie.cc/

 在这个浮躁社会中，财富能力、社会地位、颜值、情感……等等“成功”标签，正在固化无数奋斗在大城市人的终极梦想。

    然而，有那么一群人，没挣到多少钱，却费了不少力、吃了不少苦，他们并不刻意去追求社会的普世成功，却在自己热爱的领域，做出了世人可能并不知晓，但绝对意外的成绩。

    剑走偏锋，自绘人生。

92年、95年、96年，当三位出生在上述年份的年轻人坐在记者的对面时，记者怎么也无法将他们的形象和职业联系起来。两个脸色略白的大男孩，一位笑容甜美的女孩，看起来与同龄人并没有什么不同。采访刚开始时，他们很是紧张，频频摸着自己的额头、在桌子下面搓手。

他们三人都是或曾经是黑客，白帽子，黑客。

帽子的颜色

“黑客”这一词汇来自于英文Hacker，泛指擅长IT技术的人群、计算机科学家，简单而言可以理解为“电脑高手”。在我国部分地区也会音译为骇客。但无论是“黑”、“骇”、还是英文“Hack”，都会让大众对黑客这一神秘群体有一种负面的印象，究其本意，只不过是技术、手法和思维高超而已。

在时代飞速发展的今天，越来越多的人打开了自身信息的大门，拥有属于自己的数据空间。而这扇大门的“锁”却并不结实，导致个人隐私泄露、权益受到侵害的事件频有发生，个人信息成为了许多不法之人牟利的手段。因此，网络信息安全成为摆在世人面前的重要问题。

从技术上讲，有时发现漏洞、验证漏洞的过程，与利用漏洞进行破坏的原理并无二致。不同之处在于，寻找漏洞的初衷以及最终结果。这也是为什么后来在黑客中有了白帽子、灰帽子、甚至黑帽子之分。

补天漏洞响应平台在今年年初发布的《2016年中国网站安全漏洞形势分析报告》中指出，截至到2016年11月15日，全年遭受到漏洞攻击的网站共计63.6万个，平均每月有14.3万个网站遭遇各类漏洞攻击。同期，共有2362名白帽子向补天平台提交有效漏洞37188个，其中公有SRC（应急响应中心）收录32277个，私有SRC收录4911个。

这两千余位神秘的“白帽子”，就是《偏锋》走近的对象。据补天方面透露，他们当中年龄最小的年仅14岁，读初中；年龄最大的已经66岁，已退休。

整体而言，“90后”是这个目前是白帽子的绝对主力，占白帽子总量的70.7%——《偏锋》选择了三个年轻人，试图“复原”他们如何成为“白帽子”的。

ID：衰大，在补天排名中位列第15名，在其所属的POI团队中位列第二。公开的已知数据显示，从2015年1月份至2016年7月份，他共提交了近300个安全漏洞，覆盖一些人气颇高的视频网站、游戏网站等等。而现实中，他今年24岁，是个乌鲁木齐小伙，在家乡某家公司做网络安全相关工作，利用业余时间在网络世界中寻觅有价值的各种漏洞。

ID：麦香浓郁。身上闻不到麦香，但是气质挺浓郁的一个95年小伙。曾是一度叱咤的白帽子黑客，如今是360补天平台的工作人员，主要负责对白帽子提交的漏洞进行审核。

ID：思思。在这个圈子里，女黑客可是珍稀物种。提起她们，很多人脑中都会有非常朋克的脑补画面，和这位笑容甜美的大四妹子搭不上一点联系。她的梦想是组建一支女性白帽子天团，让这个行业的从业者走到大家面前。

神奇的机房

第一次接触网络安全的知识，可能是在书本，可能是在屏幕，可能在手机。但那第一次的“小兴奋”，往往是在学校的机房。

衰大回忆：第一次“Hack”是因为当时上课，老师教我们java开发。一开始的S1、S2课程都是给我们PPT可以回寝室复习。后来S3了，告诉我们说他的PPT有版权，就不分享了，让我们老老实实听课。

“不给就不给呗，一开始是这么想，但回去一查资料就发现可以做出一个提权，发现竟然把整个机房给控制了。”衰大回忆，当时的感觉有些小兴奋，小意外。

在麦香的口中，适用的场景则更加“生活化”：“在学校的内网试试各种东西啊……改改水卡啊、饭卡啊……什么的。”但他有些支支吾吾，让人感觉还有很多事迹想讲但

事实上不仅是黑客，当今很多互联网行业的企业家、学者、名人，第一次真正体验到IT技术在网络安全方面的威力和刺激，都是在机房。就如很多画家、作家都是从书架、画室中走出来的一样，机房有着特殊启蒙的意味。

其实，这个小空间也不过是大学这个大环境中的一角。

在知名的黑客圈子中，海外不乏高中成名、大学辍学的人物，在国内学历为中专、职高的高手也大有人在。于是乎给外界造成一种错觉：一个厉害黑客不需要在知名的学府中完成系统性的教育，“野路子”就是好路子。

三位白帽子并不这么看。

“事实证明，能够考上名校的学生，他的学习能力和对新事物的理解能力普遍更强。”麦香从他接触黑客的经验角度讲到，一个优秀的学习环境和灵感激发环境对任何类型的创造都极其重要。

另一方面，从白帽子的角度上来说，高校环境内也更容易孕育坚定自觉的法制理念和道德准则。对这个行业来说，此两点尤为重要。

法律意识是必修课

一个假设：如果把一家公司的网络安全套用到现实中来，比作一把锁。一个对锁有着极高专业知识的人，在你晚上回家正熟睡时开锁进入，逛了一圈，然后放了一张纸条说：你家锁不结实，找我可以给你优化下。

一个问题：等你真见了这个人，是上前去咨询锁的事，还是报警？

“技术是中立的，但当技术遭遇法律，当技术带来了法律所不允许的风险的时候，那么技术的运用就不再是中性的。”在不久前，由360安全应急响应中心“IoT安全守护计划”发布活动中，北京金杜律师事务所律师陈圣如此总结。

的确，从技术上来看，在寻找一个网络安全漏洞并且证实漏洞存在的过程中，距离利用这个漏洞进行破坏或者窃取仅一步之遥。一位拥有强大技术能力的黑客是否越线，不仅决定了这一刻“帽子的颜色”，更直接关乎是否碰触法律的底线。

麦香表示，从技术手段来看最重要的就是流量和数据。验证一个漏洞的危险等级有时会使用部分模拟手段，获得的数据和流量，必须要按照我们这个业内公认的安全手段进行加密，并且及时向平台进行报告。

衰大也认为，必须要始终把法律的红线悬在脑中，补天平台的法制课程培训虽然不会给自己的技能带来什么新思路，但强化了自我保护意识，不敢马虎。

本文转载于https://mp.weixin.qq.com/s/BPaYlidgRKW9EeaJ8Zqi4A