白帽子违规披露漏洞背后可能的原因

2021-04-06 21:30:02 27 3142

白帽子违规披露漏洞背后可能的原因

在无数个向厂商提交漏洞的日子里,以下的场景你是否似曾相识?
被厂商“白嫖”:“这根本不是一个漏洞!”但当你再次复查时,发现漏洞已经被修复。
被厂商的威胁:“这就不是一个洞,但你敢公开的话就试试看!”
被厂商误会:“你知道这样是违规披露漏洞吗?我会报警的!”然后你真的就被邀“喝茶”了。
被厂商“占便宜”:“不好意思,今日起,这类漏洞的奖金减半!”

近几年,白帽子私曝漏洞的事件频发,在业界引起了不小的波澜,在告知白帽子私曝漏洞的
行为会有触犯法律的风险,呼吁白帽子加强法律意识之际,好像没有人去深究白帽子选择私
曝漏洞的原因,也没有人问过他们,“为什么你要违规披露漏洞?”。
为了一探究竟,笔者采访了四位来自不同团队、不同背景的白帽子,了解这个群体选择私曝
漏洞背后可能的原因。



答案似乎很一致:炫技、法律意识不强、由于误会和厂商起了冲突所以一气之下公布漏洞……
这三点是造成白帽子私曝漏洞的常见原因,其中第三点很可能是最主要的原因。

“不承认漏洞就算了,他们还威胁我!你敢信?”

被误会的月神:2017年,我在提交了某个互联网新闻平台的漏洞后,立马接到了厂商的电话
,“你到底是谁,你是不是要攻击我们,如果你敢乱来,我们就要报警了”,和对方解释了半天,
我才发现对方根本不是该厂商SRC的对接人,只是该平台的业务人员,并且其对白帽子这一群体
的性质并不了解。

被“白嫖”的Balis0ng:遇到过一些厂商,对我提交的漏洞报告置之不理,过了几天我再去检测,
发现漏洞已经被修复了……我还遇到过向厂商连续提交了两个漏洞,但厂商SRC对接人表示经过
开发人员鉴定,认为这两个漏洞是同一个漏洞的情况,我也是很无语。

被威胁的小七:2018年,在提交了某大厂的漏洞后,我接到了厂商的来电,他们不但不承认这是
一个漏洞,还威胁我,“如果将漏洞公开,你以后不好找工作吧?”,不承认漏洞就算了,他们还威
胁我!你敢信?

被“教育”的远海:在一周内提交了某教育平台的6个系统漏洞后,我被使用该教育平台的厂商运维
人员“教育”了一顿。应该是一下子提交了太多的漏洞,耽误运维人员下班了,所以当时厂商的运维
人员还特地通过ID找到我,把我说了一顿。

被误会可以选择解释、被“教育”可以选择体谅、可是当被“白嫖”和威胁时,白帽子也只能选择自认
倒霉吗?,“是的,没错,遇到了也就只能自己吃了这个亏,也没有任何办法,但是好在大多数正规
的厂商,不会这样对我们”,Balis0ng说道。

接受采访的这四位白帽子,在向厂商提交漏洞时,均吃过不少“哑巴”亏,即使在厂商不愿意承认他们
提交的漏洞时,他们也从来没有想过要私曝漏洞,究其原因,是他们对正义那颗初心的坚守,也是因
为他们深知,这种行为不但会将本来有理的他们推向无理的边缘,他们还要承担被追究法律责任的风
险。因此,要从根本上避免白帽子私曝漏洞事件的发生,除了法律法规的完善和普及,还需要各大厂
商一同努力。

“随着法规的完善和行业的成熟,我相信私曝漏洞的行为会越来越少”

《中华人民共和国网络安全法》规定,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏
洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。随着《网络安全漏洞
管理规定(征求意见稿)》的出台,有关网络安全从业人员的相关行为规定更加明确和细化:第三方组
织或者个人不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布
相关漏洞信息,不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法
、程序和工具。一般情况下,发现漏洞后,第三方组织或者个人可以将相关漏洞报送给CNNVD或CNVD
,CNNVD或CNVD将会在5个工作日内予以确认回复,并通知厂商在90/10天内修复,厂商采取漏洞修
补或防范措施后再予以公开。

《网络安全漏洞管理规定(征求意见稿)》的发布,是为了规范网络安全漏洞报告和信息发布行为,同时
督促相关厂商、第三方及运营方及时应对漏洞问题,这是在《中华人民共和国网络安全法》的基础上,法
制体系进一步完善的体现。

“随着该规定的出台,能有效减少白帽子因为炫技或者法律意识不强而私曝漏洞的行为。”

接受采访的四位白帽子均认为,《网络安全漏洞管理规定(征求意见稿)》能起到规范行业行为和保障行
业健康发展的作用。

“从大学的硬性教育作为突破口,是一个不错的选择。”

据远海透露,有关网络安全法知识的课程,在他的学校目前是以选修网课的形式开展的,而那些没有选修
该课程的学生,可能对哪些行为会触犯法律并不清晰,随着我国网络安全市场越发活跃以及相关法律法规
陆续出台,他认为从大学的硬性教育作为突破口,是一个不错的选择。

“建立漏洞仲裁机制,有助于减少白帽子和厂商之间的‘扯皮’事件。”

随着腾讯、百度、阿里、华为、深信服、滴滴等各大厂商安全应急响应中心的机制日渐完善,越来越多的
白帽子更倾向于向厂商直接提交漏洞,一是因为厂商一般会优先处理在自己平台上提交的漏洞,二是因为
直接向厂商提交漏洞,白帽子能获得更多的回报。Balis0ng也谈到:“现在各大厂商也越来越重视白帽子
的贡献,比如2020年,腾讯首次推出了百万奖金池,单个漏洞额外奖励最高可达20万元;深信服前不久
升级了奖励机制,单个漏洞税后最高奖励金额有50万元;滴滴于2021年增加了年度奖励规范中获奖金的
名额,年度排名第一的白帽子可获得8万元奖励。”

“很多大厂还是很有诚意的,其实我们也感受的到,所以我们现在也比较倾向于向厂商直接提交漏洞”,
Balis0ng说道。但是直接向厂商提交漏洞,白帽子有时候也会面临一些问题,比如当厂商驳回漏洞时,
白帽子就只能在“守法等于吃亏”和“曝洞等于犯法”之间选择吗?

Balis0ng认为,如果可以在业内建立漏洞仲裁机制,当白帽子与厂商因为漏洞鉴定出现争执时,
第三方机构可以介入仲裁,那将能有效减少白帽子因为厂商驳回漏洞而违法披露的行为。

在网络世界,如果说恶意黑客是矛,利用系统或软件的漏洞,非法入侵并获取利益,那白帽子就是盾,
他们选择用技术来保护网络安全,他们需要比恶意黑客跑的更快,他们发现的漏洞越多,网络世界也
就更安全,但相比恶意黑客的“张扬”,他们的事迹却鲜有人知,他们更像是隐世高手,低调地大战四
方。虽然有时候他们会被误解,有时候他们的付出没有得到应有的回报,但是他们还是坚守了自己的
初衷,做正义的事情。

接受采访的四位白帽子均表示,随着行业的发展和规范,目前白帽子群体遇到的一些困境都会得到有
效的解决,同时他们也呼吁白帽子从保护自己的角度出发,依法披露漏洞,不要因为一时气愤让自己
面临触犯法律的风险并带上“无理”的枷锁。

关于作者

评论27次

要评论?请先  登录  或  注册
  • TOP1
    2021-4-7 16:29

    国内的提交了没几个钱,还要和那群智障各种解释,过了的话最后就是给你个证书,象征性的给点钱,你以为然后就完了?对方出了问题第一时间就找你,说你测试的时候导致对方什么网站打不开,服务器崩了,数据丢失,等等等...........楼上大佬说得好,还不如不提交,自己留着就行了[待价而沽].

  • TOP2
    2021-4-8 11:41

    说实话挖src我个人觉得根本没有任何意义,几百几千快侮辱了漏洞侮辱了自己侮辱了自己白帽子的头衔,辛苦挖洞还要和别人扯皮,再说的不好听,也是白帽子自己作的,甲方思维就是你不挖总会有人挖,so,给你50算看的起你了。

  • TOP3
    2021-4-7 20:31

    确实没啥好的啊,你乱搞,人家开发人员挨骂.公司出售的产品有问题,问责,肯定也不好.最终就是某些平台推荐买安全产品.你获得几个积分连瓶水都不够.

  • TOP4
    2021-4-9 05:54

    有些漏洞其实是厂商故意制造的你动了他们的蛋糕不讹你讹谁从开发者的角度来讲他们完全可以说成是 “不小心”直接甩锅回头立马高价卖掉,过段时间,回头又补了如果我是腾讯百度淘宝的开发者这背后多少利益?那这个(bug)在法律上有没有定义?(故意制造的漏洞)在法律上有没有定义?怎么去定义?我觉得想的太简单了

  • TOP5
    2021-6-4 13:57

    国内提交漏洞容易被恶心,解释权都在公司那,之前辛辛苦苦挖几个洞,提交了打回来说早发现了还没修复而已,转手马上就修复。本来就廉价劳动力,还给白嫖了,工作以后真不建议加入这么卷的SRC环境

  • 27楼
    2021-6-16 09:27

    待价而沽待价而沽

  • 26楼
    2021-6-14 20:29

    唉这个事情,不好说

  • 25楼
    2021-6-14 17:25

    见怪不怪

  • 24楼
    2021-6-14 01:53

    為了企業網路安全做出提醒,往往事與願違,扯皮幾天幾夜常有的事吧

  • 23楼
    2021-6-10 09:16

    也有些白帽干着龌龊的事,经常公开敲诈政府喝企业,屡禁不止,和一些不法分子的勾结一起,背后还有某某叔叔的保护。飞扬跋扈。早该治理这些了。抓了直接进去喝10年茶,不能惯这些臭毛病。

  • 22楼
    2021-6-10 09:13

    现在没有授权确实不愿挖了,但是漏洞平台、cnvd之类的还是接收漏洞,所以觉得就是互相矛盾

  • 21楼
    2021-6-10 09:06

    经典案例就是,审核都不过,然后厂商修复速度异常快,你能怎么办?

  • 20楼
    2021-6-9 00:12

    提交到手就没有啥钱,

  • 19楼
    2021-6-8 23:29

    没有一个第三方认证机构进行漏洞认证的话,话语权完全掌握在厂商手里,白帽子基本没有什么话语权,好不容易挖个洞,结果啥都没得到,还相互扯皮,这种现象还是很打击大家挖洞的积极性的。

  • 18楼
    2021-6-8 22:35

    这年头有day不都存着。除非为了搞几个证书找工作用。提交漏洞干啥

  • 17楼
    2021-6-7 22:11

    提交漏洞挣的钱还不如去卖矿泉水瓶子还一通报告 还可能面临法律风险 不如不弄

  • 16楼
    2021-6-4 13:57

    国内提交漏洞容易被恶心,解释权都在公司那,之前辛辛苦苦挖几个洞,提交了打回来说早发现了还没修复而已,转手马上就修复。本来就廉价劳动力,还给白嫖了,工作以后真不建议加入这么卷的SRC环境

  • 15楼
    2021-6-4 13:15
    雨苁cong

    国内的提交了没几个钱,还要和那群智障各种解释,过了的话最后就是给你个证书,象征性的给点钱,你以为然后就完了?对方出了问题第一时间就找你,说你测试的时候导致对方什么网站打不开,服务器崩了,数据丢失,等等等...........楼上大佬说得好,还不如不提交,自己留着就行了待价而沽].

    1

    [待价而沽].[待价而沽].[待价而沽].[待价而沽].

  • 14楼
    2021-5-18 09:57

    有些漏洞其实是厂商故意制造的你动了他们的蛋糕不讹你讹谁从开发者的角度来讲他们完全可以说成是 “不小心”直接甩锅回头立马高价卖掉,过段时间,回头又补了如果我是腾讯百度淘宝的开发者这背后多少利益?那这个(bug)在法律上有没有定义?(故意制造的漏洞)在法律上有没有定义?怎么去定义?我觉得想的太简单了

  • 13楼
    2021-5-14 16:07

    啊哈哈哈哈哈哈~

  • 12楼
    2021-4-11 05:40

    给个破娃娃哄小孩玩那,给他们提交,还得买瓶矿泉水润润嗓子

  • 11楼
    2021-4-9 05:54

    有些漏洞其实是厂商故意制造的你动了他们的蛋糕不讹你讹谁从开发者的角度来讲他们完全可以说成是 “不小心”直接甩锅回头立马高价卖掉,过段时间,回头又补了如果我是腾讯百度淘宝的开发者这背后多少利益?那这个(bug)在法律上有没有定义?(故意制造的漏洞)在法律上有没有定义?怎么去定义?我觉得想的太简单了

  • 10楼
    2021-4-8 11:41

    说实话挖src我个人觉得根本没有任何意义,几百几千快侮辱了漏洞侮辱了自己侮辱了自己白帽子的头衔,辛苦挖洞还要和别人扯皮,再说的不好听,也是白帽子自己作的,甲方思维就是你不挖总会有人挖,so,给你50算看的起你了。

  • 9楼
    2021-4-7 20:31

    确实没啥好的啊,你乱搞,人家开发人员挨骂.公司出售的产品有问题,问责,肯定也不好.最终就是某些平台推荐买安全产品.你获得几个积分连瓶水都不够.

  • 8楼
    2021-4-7 18:21

    哈哈哈哈哈~嗝