徐律师说法：给T00LS白帽的一些建议【T00ls法律讲堂第四期】

合法或违法，应当是对事不对人。

在这个世上，人无完人，我们不能用好或坏来将标签一个人，而应当将其标签在那些人们所做的事上。所以就像白帽和黑产，这样的标签定义在一类人群身上显然是不够精准的，事情是一码归一码，但人却会变，再说对任何的事情，不同的角度都有着不同的评判标准，我们不能概况的因为一件事情伤害了一类人群，世纪佳缘的事件不管结果如何，都是一个敲响所有相关人群的警钟。

就像在T00LS的社群里，都是一群追逐技术的黑客，每天每个人都做着许多类似的事情，但是一旦做事的目的不同，同样的事情就会有不同的效果。同样，很多大牛，白天在做白帽，晚上又干黑产，我们又能如何定义这样的人群呢，因此我总结：技术无罪，错在人为。



目前大多数白帽都集聚在一些第三方平台上，与受测企业之间几乎没有直接的来往，对此为了防止类似的事情，徐律师给真正从事白帽的黑客一些小小的建议（通过工具批量扫描的因为不会出现类似问题就不做阐述了，未成年人和黑产可以无视以下）：

一、虽然客观上有时通过实施侵入计算机信息系统的方法来挖掘企业网站的漏洞，但不得有任何从事破坏的痕迹，即依照法律，不得对计算机信息系统功能进行删除、修改、增加、干扰，不得破坏系统中存储、处理或者传输的数据和应用程序。说白了，你别乱动别人的东西。

二、很多时候，你除了发现漏洞外，为了证实还会尝试进入（入侵），但是千万不要获取其计算机信息系统中的数据，这里的数据包括图片、文字、影音资料、转悠的程序或者软件等。通俗说就是，对于很多数据不要太好奇，如果你看了就算了，别忘心里去，特别是别做脱裤子的事，脱了账号密码事大，脱了某些机密事就更大了。

三、在实施以上的行为的过程中，自始至终在主观心里中，无论受测的企业网站多么有诱惑，都不得有邪念，当然在非主观意志以外，比如操作疏忽大意或者技术不熟练导致的以上问题，就不必过于担心。

四、目前国内许多第三方平台是无法直接保护白帽的安全，这里涉及到的问题很多，当然主要还是平台在客观上无法保证或监测以上行为。所以最好还是准确了解自己即将实施的行为是否经过授权，关于授权这个问题几乎是可以阻击一切风险的，除了那些开放众测的网站，就建议大牛直接与受测试网站签订协议，保护自己。

五、当发现漏洞后尽量不要私下与（黑产）好友分享，因为你不知道他们会通过你的成果去实施哪些行为，他们犯罪的的情况下，如果在聊天记录中出现一些不利的言语交流，你就很有可能成为他们实施犯罪的帮助犯。

如果能够做到以上几点，你的白帽行为几乎就会一帆风顺了，接着就是你展示技术的时候了。

最后提醒：不要拿着白帽的幌子自欺欺人~！合法或违法，应当是对事不对人！