设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 数据 手机 公司
当前位置: 首页 > 服务器 > 安全 > 正文

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

发布时间:2017-05-09 21:29 所属栏目:53 来源:雷锋网
导读:世界上的许多冲突,归根结底就四个字:认知差异。打个比方: 小张他女朋友说该换裙子了,小张以为她嫌天气太热,而女友想的却是“又该买新裙子了”。 面对同一个事情,认知的不同导致了角度、观点的不对称,由此引发冲突。这种认知差异的怪圈,存在于每个

世界上的许多冲突,归根结底就四个字:认知差异。打个比方:

小张他女朋友说该换裙子了,小张以为她嫌天气太热,而女友想的却是“又该买新裙子了”。

面对同一个事情,认知的不同导致了角度、观点的不对称,由此引发冲突。这种认知差异的怪圈,存在于每个人的身上,哪怕是看起来无所不能的黑客也无法逃脱。而且,当认知差异发生在黑客身上,事情变得更加有趣。

安全众测平台漏洞盒子的负责人曾裕智向小编讲述了他看到的,黑客遭遇的认知差异。

认知差异一:漏洞还是 BUG?

程序员通常喜欢把程序出现的所有问题统称为“Bug”,无论是编程问题、逻辑问题,还是设计问题。然而,每个人对 Bug 的认知不同,便产生了认知差异。

曾裕智为小编()编辑讲了一个真实案例:

一个公司开发的APP 具备发送短信验证码的功能,它的流程是“输入手机号并确认→收到短信验证码→填入验证码→验证完成。” 整个短信验证流程很完整,在开发者眼里,没有任何 “BUG” 。

然而这世上却有种叫“短信轰炸机”的东西,攻击者可以通过大量重复调用APP的短信接口来对某一个号码实施“短信轰炸”。于是,在黑客的眼里,这个流程有“BUG”,因为他没有对短信轰炸问题做处理。

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

▲短信轰炸器截图,图片来自网络

这就是开发者和黑客的典型认知差异,前者看重逻辑和预期,后者看重可能性和危害。

漏洞盒子作为一个漏洞众测平台,站在企业和白帽子的中间,他们需要借助民间白帽子黑客(安全测试人员)的力量来帮助企业发现安全漏洞,便注定每天面对无数类似的认知差异。

不过他们找到了一个解决思路:明确定义和规则。他们知道,当双方产生认知差异时,只有从双方都认同的定义和规则出发,才可能达成最后的一致。

他们把“安全漏洞”定义为“可能对业务造成不良影响或损失的缺陷,一旦处理不当就可能引发安全事件和安全事故。”。这和安全行业通用的定义,也是双方都认同的。

按照这样的定义,上文案例中的问题就不难处理。企业的 APP 一旦被攻击者短信轰炸,轻则造成短信资源浪费,重则引起大量用户投诉,导致短信接口屏蔽被电信运营商屏蔽,造成业务中断。因此,短信接口没有做防攻击处理,应该视为“安全漏洞”。

“最后双方达成一致,APP开发者对短信验证码接口加入了验证码,并且对短信次数进行了限制,从而降低了被利用于短信轰炸的风险。”曾裕智说,这其中最重要的一点,就在于对安全漏洞及安全事件的定义。

认知差异二:白帽子,黑客,还是安全专家?

漏洞盒子首页上有句这样的话:

漏洞盒子是一个互联网安全测试平台,它的模式是众包全球各地的网络安全专家,让他们在平台上去为企业解决各种各样的网络安全问题。

这句话里的“安全专家”,指的是白帽子(善意的黑客)。但漏洞盒子更愿意称他们为“网络安全专家”而非“白帽子”或“黑客”,因为人们黑客这个词本身就存在认知偏差。

黑客是什么?有人觉得它具有褒义,只有技术高超的人才有资格叫黑客;有人觉得黑客带有贬义,他们喜欢利用技术来搞破坏和恶作剧;而更常规的解释则是一个中性词,意为“精通电子计算机技术的人”。

对“黑客”的认知差异体现在漏洞平台上,最直接的体现就是厂商无法彻底摆脱对白帽子的忌惮,他们担心所谓“安全专家”会在测试漏洞时做一些坏事,拖走他们的数据库、泄露商业隐私等等。

这一点和网约车非常相似,3年前,网约车乘客遭遇司机不法侵害的事件偶有发生,许多漂亮姑娘不敢用打车软件,因为在许多人的认知当中,网约车的前身就是不安全的“黑车”。“安全专家”的前身终究还是黑客。

网约车解决这个问题的方法是“明确规则”,比方说对司机进行实名认证。而漏洞盒子解决认知差异问题的方法也是明确规则。曾裕智告诉小编,漏洞盒子主要从三个方面对交易过程进行严格的风险控制:

  • 对象风控:是指平台会实名制测试人员的身份,同时也校验企业的资质 ——即打车之前先实名登记司机和乘客身份。
  • 过程风控:是指平台会提供网络镜像流量、VPN等,确保审计测试人员的行为 —— 即乘车时在车里安装一个行车记录仪。
  • 结果风控:是指通过法律协议,严禁“白帽子”对外透露测试过程和结果的任何细节。—— 即签约不允许透露乘客信息。

如今网约车已经成为许多人生活的一部分,这在某种程度上得益于规则的完善。同样基于共享模式的“安全众测”,未来或许也会在不断完善的规则之下,逐渐被更多的人所接受。

认知差异三:高危漏洞,还是低危漏洞?

曾裕智告诉小编,在漏洞盒子的平台上进行安全检测,一开始不用支付任何费用。检测结束之后,平台会按照漏洞数量和危害级别计费,没有发现问题一分钱也不用付,即所谓的“按效果付费。”

这将导致了另一个认知差异:既然按效果付费,效果好不好,谁说了算?

曾经有这么个段子,一家餐厅做关于菜品价格的问卷调查,结果价格一降再降,顾客依然在问卷里表示“太贵”,老板很郁闷,明明自家菜价比别家低很多,为什么顾客还觉得贵?一名服务员点醒他:这世上哪有嫌便宜的?就算你免费赠送,也会有人想让你倒贴钱。

同样的道理,让企业来评定安全效果,永远都是“不够好”,让测试人员来评定,永远都“很好”。

曾裕智告诉小编,解决办法依然在于“双方都认同的定义和规则”。正因如此,漏洞盒子在漏洞价值评定上采用国际公认的漏洞评级标准 CVSS 。

据小编了解,CVSS标准由安全组织 FIRST 管理。这个组织来头相当大,主要成员是各国的国家应急响应中心以及谷歌、苹果这样的行业巨头,国内仅有华为、中兴两家是企业成员。CVSS 漏洞标准在行业内具有相当高的权威性。

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

▲CVSS标准示意图 ,图片来源漏洞盒子官网

无独有偶,此前美国知名的漏洞平台Hacker one 的首席运营官(COO) 王宁向小编编辑透露,他们也曾遭遇过因漏洞鼓励计划没写明确,造成白帽子和企业双方的误解。

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读