前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇英雄聯(lián)盟維護公告范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

英雄聯(lián)盟維護公告范文第1篇

在

對阿里進行常規(guī)滲透測試時，“90后”白帽子何詣莘發(fā)現(xiàn)阿里云盾的搜索引擎存在未授權(quán)訪問漏洞。不過，這個漏洞危害不大，當(dāng)他嘗試進一步測試有沒有其他漏洞時，發(fā)現(xiàn)阿里的安全人員已經(jīng)發(fā)現(xiàn)了漏洞并修補了。這樣的漏洞查找對白帽子而言是家常便飯，徒勞無功也是常見的結(jié)果。

然而，今年4月12日，“白帽子”袁煒因涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪被批捕的事件，讓白帽子們措手不及，挖掘漏洞的法律爭議使得“白帽子”這個群體也越來越引發(fā)各界關(guān)注。

成為白帽子很普通

在網(wǎng)絡(luò)世界中，白帽子是一個“來無影，去無蹤”的存在。何詣莘說：“我挖掘企業(yè)的網(wǎng)站安全漏洞時，基本不會留下行跡。換言之，如果我不說，他們根本不知道我來過?！?/p>

另一名白帽子張坤向記者證實了這一點，“確實是這樣，企業(yè)通常不會發(fā)現(xiàn)我們對他們的網(wǎng)站進行了滲透測試?！睆埨な呛卧勢返呐笥?，在金融第三方從事安全工作的他也是一名兼職白帽子。

除去白帽子這個身份，何詣莘的職業(yè)是成都一家大型數(shù)據(jù)公司的專職網(wǎng)絡(luò)安全工程師，收入不菲，生活優(yōu)渥。談及為何對網(wǎng)絡(luò)安全感興趣，并成為一名白帽子，何詣莘告訴《方圓》記者：“少年男孩，總有一顆想成為黑客的心，卻苦于不知如何入門，所以最初我并未關(guān)注網(wǎng)絡(luò)安全問題，若不是一次意外，我現(xiàn)在最可能是一名‘碼農(nóng)’?！?/p>

何詣莘口中的意外是某天在貼吧里看到某位大牛記錄自己的黑客生涯，“他的經(jīng)歷看得我熱血沸騰，” 何詣莘崇拜地說，“當(dāng)你看到一個牛人展示他的才華的時候，你就會想變得跟他一樣?！比欢?，他并未經(jīng)過專業(yè)的網(wǎng)絡(luò)安全知識的學(xué)習(xí)，“我完全是野路子出身，我是從泡中國紅客聯(lián)盟開始學(xué)習(xí)安全知識的?！?何詣莘說。

然而，如今何詣莘在民間著名漏洞收集平臺漏洞盒子上卻是小有名氣，在排名榜上，他穩(wěn)定在在二三十名之間，而漏洞盒子有近兩萬名的注冊白帽子。他曾經(jīng)挖出某航空公司內(nèi)網(wǎng)、江蘇十幾家銀行的安全漏洞，得到了這些廠商的致謝和不菲的獎勵。

張坤成為一名白帽子，完全是靠興趣。“我在大學(xué)的專業(yè)是網(wǎng)絡(luò)工程，但是早在大一的時候，我就對網(wǎng)絡(luò)安全產(chǎn)生了興趣。盡管二者都帶有‘網(wǎng)絡(luò)’，但是卻是兩個不同的領(lǐng)域。”“在興趣的指引下，我大量地閱讀相關(guān)書籍，不斷地與人切磋交流，不斷地嘗試挖掘網(wǎng)站安全漏洞，剛開始的時候沒有任何收獲，直到有一天我挖掘出一個企業(yè)的安全漏洞，我才從心里認(rèn)為自己真正成為了一名白帽子?！?/p>

何詣莘等大多數(shù)白帽子認(rèn)為自己一點都不神秘。在他們看來，他們跟普通人并無差別，只是自身興趣愛好不同而已。

挖掘漏洞進化史：從手動到自動

何為網(wǎng)絡(luò)安全漏洞？北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江認(rèn)為：計算機網(wǎng)絡(luò)、硬件、軟件、服務(wù)或者是管理存在弱點，這個弱點能夠被別人利用來進行攻擊，即為用來實施威脅的落點，就是網(wǎng)絡(luò)安全漏洞。

那么白帽子是如何挖掘漏洞的呢？

何詣莘告訴《方圓》記者他如何發(fā)現(xiàn)的第一個漏洞。那是一個越權(quán)漏洞，“我剛開始嘗試找漏洞的時候，并沒有確定要找哪些廠商的漏洞，只是通過搜索引擎搜索關(guān)鍵字，也就是‘撒網(wǎng)撈魚’這種模式，通過在使用搜索引擎時的關(guān)鍵字設(shè)置（如搜索inurl：user_add.php，就可以查找存在身份驗證漏洞的網(wǎng)站），就可能會發(fā)現(xiàn)某些未做身份識別驗證的頁面，可以修改網(wǎng)站首頁顯示的新聞、圖片、管理員信息，可管理數(shù)據(jù)庫，甚至可以拿下網(wǎng)站服務(wù)器權(quán)限……我在搜索到頁面的第二、三頁的時候，就發(fā)現(xiàn)了這樣一個漏洞，當(dāng)時心里非常激動，仿佛打開了通向新世界的大門，從此一發(fā)不可收拾?！?/p>

第一個漏洞讓何詣莘很欣喜，但是他并不否認(rèn)這只是最初級的挖掘漏洞的模式?！艾F(xiàn)在挖掘漏洞，可以針對不同的功能進行手工測試。”張坤補充道。

與何詣莘、張坤靠自學(xué)成為白帽子不同，畢業(yè)于中北大學(xué)信息對抗專業(yè)的石濤成為一名白帽子是順理成章的事情，他是科班出身。他向記者介紹了一種自動的漏洞挖掘模式：白帽子利用自己寫的全自動化掃描程序，關(guān)注每天最新的廠商未發(fā)現(xiàn)的最新漏洞，然后把相應(yīng)規(guī)則添加進自己寫的程序，填入域名，就可以自動掃描網(wǎng)站。之后，再把掃描出來的漏洞進行人工驗證?！斑@樣的漏洞挖掘模式效率是相當(dāng)高的，也是很多業(yè)內(nèi)高手的常用手法?！笔瘽f。

擁有挖掘漏洞能力的白帽子在確定挖掘哪些網(wǎng)站的漏洞時，帶有極強的個人色彩。

隨著技術(shù)的提高，何詣莘在查找漏洞時已經(jīng)摒棄了“撒網(wǎng)撈魚”的原始模式，“現(xiàn)在確定挖掘目標(biāo)，已經(jīng)不是靠前期的關(guān)鍵字搜索了，有時是定點，比如說買機票的時候就會對航空公司的內(nèi)網(wǎng)進行一個測試；有時是圈內(nèi)朋友讓幫忙看看某個網(wǎng)站；有時是社會上的一些熱點現(xiàn)象涉及的網(wǎng)站；還有時是漏洞平臺的一些眾測項目?！倍袝r一天就發(fā)現(xiàn)幾個漏洞，有時發(fā)現(xiàn)一些大型目標(biāo)，他會認(rèn)真研究，那時可能就一兩個月都沒發(fā)現(xiàn)漏洞。

身為某互聯(lián)網(wǎng)公司開發(fā)工程師的石濤在挖掘漏洞時，主要是偏重于互聯(lián)網(wǎng)企業(yè)，“身為一名IT開發(fā)工程師，相對于其他企業(yè)，我對互聯(lián)網(wǎng)企業(yè)會有更多的關(guān)注?！?石濤告訴《方圓》記者。

不同于何詣莘和石濤，張坤確定自己的挖掘目標(biāo)就容易多了，“我主要去一些有SRC（安全應(yīng)急響應(yīng)中心）的企業(yè)那里找漏洞，或者是一些在漏洞收集平臺注冊過的企業(yè)?！?/p>

挖了漏洞給誰

白帽子挖掘出安全漏洞后，怎樣處置這些漏洞？事實上，官方與民間有很多漏洞披露平臺可供白帽子選擇。而選擇哪一種，不同的白帽子選擇各異。

據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心運行部副主任、正高級工程師嚴(yán)寒冰介紹：自從2009年以后，多家漏洞平臺陸陸續(xù)續(xù)地成立，這些漏洞報告平臺擔(dān)負(fù)著搜集漏洞、處置漏洞相關(guān)任務(wù)。國家層面成立的漏洞平臺有CNVD、CNNNVD；民間漏洞平臺有補天平臺、烏云網(wǎng)、漏洞盒子等；另外有一些企業(yè)成立了自己的安全應(yīng)急響應(yīng)中心（SRC），建立了企業(yè)與白帽子之間的直接溝通渠道，比如百度、阿里、騰訊、網(wǎng)易、京東等等。

何詣莘挖掘的漏洞大多在漏洞盒子提交，“跟漏洞盒子的人比較熟”是他選擇漏洞盒子的最重要的因素，“但是，我還是更喜歡烏云的模式，因為‘白帽子’崇尚共享，而烏云網(wǎng)是一個很好的共享平臺，它是很多‘白帽子’學(xué)習(xí)進步的好地方，在那里可以學(xué)習(xí)到很多挖掘漏洞的技術(shù)和思路，會讓人腦洞大開?！?/p>

因為張坤主要去一些有SRC的企業(yè)挖掘漏洞，所以他挖掘出來的漏洞可以直接提交給企業(yè)，相當(dāng)高效快捷。

石濤挖掘的漏洞主要提交給烏云網(wǎng)，烏云網(wǎng)會給烏云幣以及烏云排名成績作為獎勵，利用烏云幣可以參看受限的內(nèi)容，買安全會議的門票，這有利于他的技術(shù)的提高。烏云排名更是實力的體現(xiàn)，排名對白帽子是一種榮譽的體現(xiàn)，“排名高在圈子里會受尊重，找工作也能當(dāng)成能力佐證。”石濤很看重rank值的高低。

白帽子根據(jù)自己的喜好選擇相應(yīng)的平臺，不同平臺的特色亦有不同。與烏云網(wǎng)逐步公開漏洞細(xì)節(jié)不同，補天漏洞收集平臺在漏洞細(xì)節(jié)的公布策略上較為靈活。補天漏洞收集平臺是隸屬于360公司的漏洞收集平臺。補天負(fù)責(zé)人告訴《方圓》記者，平臺提供公有SRC和私有SRC兩種公益的服務(wù)模式。公有SRC是漏洞招領(lǐng)模式的互聯(lián)網(wǎng)安全協(xié)作平臺，當(dāng)白帽子上交漏洞后，補天會進行審核，確認(rèn)后會嘗試聯(lián)系企業(yè)，當(dāng)聯(lián)系不上時，會在網(wǎng)站上進行漏洞招領(lǐng)，招領(lǐng)時只公布漏洞標(biāo)題，不會公布細(xì)節(jié)。企業(yè)只要免費注冊就能認(rèn)領(lǐng)漏洞，并得到漏洞的詳情和修復(fù)建議。而補天私有SRC是為企業(yè)提供自建SRC服務(wù)的互聯(lián)網(wǎng)安全協(xié)作平臺，企業(yè)在線充值后可以自助漏洞征集公告，白帽子提交的漏洞由360仲裁并被企業(yè)確認(rèn)后，由企業(yè)發(fā)放獎金給白帽子。

也有企業(yè)不重視提交的漏洞

由于經(jīng)常挖掘安全漏洞，談及漏洞的危害，何詣莘深有體會：“一些使用開放源代碼建立的網(wǎng)站或者網(wǎng)站安全防護設(shè)備的漏洞可以用來攻擊一批網(wǎng)站。因為這些網(wǎng)站的搭建用的是同樣的系統(tǒng)，只是由于界面有定制，所以表面看起來不一樣。但是一旦發(fā)現(xiàn)這種系統(tǒng)的漏洞，就能影響一批網(wǎng)站，可能導(dǎo)致的危害就是用戶信息被盜取，舉個例子，如果是金融系統(tǒng)的漏洞的話，就能修改銀行或者P2P金融系統(tǒng)中用戶金額這樣的敏感信息?！?/p>

“好在金融系統(tǒng)的安全意識比較強。”何詣莘介紹，他發(fā)現(xiàn)銀聯(lián)等企業(yè)的漏洞并且提交后，這些企業(yè)很快進行了修復(fù)，“還對我表示了感謝?！?/p>

但是，并非所有的企業(yè)面對漏洞的態(tài)度都是這么積極，“有時候我們白帽子發(fā)現(xiàn)漏洞，告訴企業(yè)之后，他們的態(tài)度相當(dāng)不積極，有時甚至可以說對我們有敵意，可能這些企業(yè)認(rèn)為，我們白帽子不發(fā)現(xiàn)漏洞、不提交漏洞，他們就可以自欺欺人地認(rèn)為漏洞不存在，事實上，毫不夸張地說，一旦漏洞被某些居心叵測的人利用，就可能會造成大范圍的數(shù)據(jù)泄露，危害用戶的數(shù)據(jù)安全，嚴(yán)重的可能會造成重大金錢損失?！焙卧勢穼Υ撕軣o奈，但是他坦承對此也是“束手無策”。

由于法律上對白帽子的行為尚無明確的界限，為了規(guī)避法律風(fēng)險，他的底線是“不竊取數(shù)據(jù)、不擅自修復(fù)漏洞、不影響網(wǎng)站業(yè)務(wù)”，他直言：“我從沒把自己當(dāng)成拯救網(wǎng)絡(luò)風(fēng)險的英雄，發(fā)掘、查找漏洞是我的興趣所在，但是我絕不會為了某網(wǎng)站用戶數(shù)據(jù)不泄露，而擅自去修復(fù)漏洞，因為這樣會觸犯法律?！?/p>

石濤曾經(jīng)挖掘出花瓣、人人、美團、歐美斯教育等企業(yè)的安全漏洞，據(jù)他介紹，歐美斯教育的那個安全漏洞危害極大，這個漏洞基本上暴露了公司內(nèi)部的全部信息，例如公司員工信息、公司高管郵箱，更夸張的是公司高管的內(nèi)部系統(tǒng)的密碼跟郵箱密碼是同一個密碼，這樣公司面臨的風(fēng)險極大，一旦密碼被泄露，公司的商業(yè)機密很有可能被竊取。而花瓣網(wǎng)的漏洞更為嚴(yán)重，不法分子可以冒充任意用戶登錄，登錄之后，用戶在花瓣網(wǎng)上的隱私就全部被竊取。