大家好,帅帅的盾叔来了,相信很多从事网络安全行业的小伙伴或多或少都跟厂商之间产生过各种各样的纠葛,大多数情况都是以下几类:
NO1.被厂商“白嫖”:“这根本不是一个漏洞!” 但当你再次复查时,发现漏洞已经被修复。
NO2:被厂商的威胁:“这就不是一个洞,但你敢公开的话就试试看!”
NO3:被厂商误会:“你知道这样是违规披露漏洞吗?我会报警的!......” 然后你真的就被邀 “喝茶”了。
NO4:被厂商“占便宜”:“不好意思,今日起,这类漏洞的奖金减半!”
为此,盾叔今天还专门跑到技术部门去采访了几位大佬,我们来看看他们都遭遇过些什么吧!
大佬们的各种坑爹遭遇
大佬A:2017年,我在提交了某个互联网新闻平台的漏洞后,立马接到了厂商的电话, “你到底是谁,你是不是要攻击我们,如果你敢乱来,我们就要报警了”,和对方解释了半天,我才发现对方根本不是该厂商SRC的对接人,只是该平台的业务人员,并且其对白帽子这一群体的性质并不了解。
大佬B:遇到过一些厂商,对我提交的漏洞报告置之不理,过了几天我再去检测,发现漏洞已经被修复了……我还遇到过向厂商连续提交了两个漏洞,但厂商SRC对接人表示经过开发人员鉴定,认为这两个漏洞是同一个漏洞的情况,我也是很无语。
大佬C:2018年,在提交了某大厂的漏洞后,我接到了厂商的来电,他们不但不承认这是一个漏洞,还威胁我,“如果将漏洞公开,你以后不好找工作吧?”,不承认漏洞就算了,他们还威胁我!你敢信?
大佬D:在一周内提交了某教育平台的6个系统漏洞后,我被使用该教育平台的厂商运维人员“教育”了一顿。应该是一下子提交了太多的漏洞,耽误运维人员下班了,所以当时厂商的运维人员还特地通过ID找到我,把我说了一顿。
看到大佬们的遭遇,原谅我不厚道的笑出了声,但是在和大佬们交流的时候,盾叔发现其实很多事情都与另一件事情有一定关系:私曝漏洞。
关于私曝漏洞的分析
在前几年,关于网络安全工程师,也就是我们常说的白帽子,私曝漏洞的事情可以说是经常发生,而这种事情也是导致很多白帽子和厂商之间发生矛盾的主要原因之一。
而在与大佬们的交流中我也总结了一下,为什么会有白帽子们作出这种可以说是吃力不讨好的事情。
无外乎于以下几种方法:炫技、法律意识不强、由于误会和厂商起了冲突所以一气之下公布漏洞……这三点是造成白帽子私曝漏洞的常见原因,其中第三点很可能是最主要的原因。
可以看到,第三个原因和盾叔的想法不谋而合,毕竟矛盾不会无缘无故产生,有时可能是遇人不淑的情况下,一部分原因也可能是因为白帽子们本身对于自身的保护意识和法律意识不足导致。
毕竟前几年《网安法》还未落地,相对的网络安全行业的规则和风气也不是像现在这般清明,白帽子们对于这方面的意识也不够强,而且有时还会发生有理也说不清的情况。
久而久之就会出现各种各样的问题。
所以,一个行业的规则制定非常重要!!
随着《网安法》的普及,保护的并不只是一些有这方面需求的公司企业或者个人,盾叔觉得,对于长时间对于自己的行为以及底线都不太明了的白帽子们,也是一种变相的保护,或许大家觉得《网安法》限制了白帽子们的行为,但事实上,哪怕没有《网安法》,大部分网安人也不会作出损害他人、社会和国家利益的事情,他们更多的只是一群对于自己喜欢的事业刻苦钻研的人。
那么《网安法》落地后,一方面刺激了行业的发展,为白帽子们提供了更多的发展空间,同时也减少了白帽子们作出不冷静行为的可能性,并且告诉他们,如何去维护自己的合法权益!!
网安人学习《网络安全法》就成为了必修课。
就像武汉网盾网络安全培训一样,入学第一课,不教你挖洞,不教你黑网站,来,《网安法》了解一下,明天交一下读后感。
想要成为一名合格的网安人,除了技术和经验之外,盾叔觉得,思想和精神应该放在第一位,就像老人常说的,先学做人,再学做事。
好了,今天的磕就唠到这,大家要好好学习网安法,毕竟这是对他人以及我们自身的权益保护法,下课!