15岁,花季。当大多数孩子还在赶着去补习班的时候,15岁的李成已经是大名鼎鼎的白帽子,成为2013年360库带计划最有价值的白帽子候选人。
从游戏钓鱼网站吸取教训
2010年,美国成立网络战司令部,计划在未来几年将网络安全部队扩充至4900人。与此同时,《纽约时报》报道称,位于山东济南的蓝翔技校是中国著名的黑客培训基地。这一年,小李11岁,上小学5年级。
在玩一个网络游戏的时候,肖立成看到有人在卖便宜的游戏金币。奇怪的是,他点开网站后,账户里的装备和金币都被盗了。原来这是一个钓鱼网站。普通人遇到这种问题,除了咒骂几句,也只是暗自承认自己倒霉。小李成对这个骗子制作的钓鱼网站产生了兴趣。
他开始研究这个钓鱼网站的结构。了解钓鱼网站的心理,开始了解网站建设,遇到不懂的东西就上网查。
首次接触网站漏洞
2011年6月,新浪微博突然遭到蠕虫状病毒攻击,众多V认证的名人微博自动发布私信或带有攻击链接的微博。年底,CSDN、天涯等多家互联网公司的账号密码信息被公开下载,中国公众经历了一次大规模的个人信息泄露事件。这一年,小李上小学六年级,成了12岁的孩子。
经常光顾论坛的肖立成,在网站的论坛里看到有人发布的一个网站exp(黑客植入的网站利用程序)。他非常惊讶。别人是怎么知道这个漏洞,发现这个问题的?为了理解这些问题,他开始接触代码,也买了一些关于脚本和编程的书,比如《白帽子讲WEB》,《细说PHP》。从今年开始,李成开始向关注,的网站进行泄密和渗透,不断出现在白帽子聚集的社交群和论坛社区。
正义与邪恶的选择
2012年,雅虎服务器遭到黑客攻击,45.3万条用户信息泄露。国内10余家主流快递公司的快递单号信息被广泛泄露。这一年,小李13岁,刚上初一。
在一群白帽子里,肖立成看到了某人网站的一个漏洞,然后有人想买这个漏洞。小李成觉得很惊讶。原来网站漏洞其实是可以交易的。原来那些人都是做黑产的(利用网站的漏洞做非法交易),他当时有点感动。后来发现对方给的钱挺少的,李成却提不起兴趣。后来再遇到有人卖买漏洞,他就没兴趣了。幸运的是,肖立成没有踏入黑产这个非法行业。
每年提交6个高风险漏洞
2013年,美国棱镜门监控计划被曝光。同年,360发布库带计划,以现金方式收集建站系统漏洞。今年秋天,14岁的李成升入了二年级。
今年9月,肖立成向360库带计划提交了首个网站漏洞。几天后,他收到了官方图书馆腰带计划支付的现金奖励。肖立成兴奋地帮站长修补漏洞,并获得报酬。此后,他又陆续提交了6个高危漏洞,包括、和等知名建站系统的漏洞。
学习比当白帽子更重要。
15岁,花季的年纪,正处于青春的叛逆期,是父母每天被迫参加各种业余班,和朋友疯狂玩耍的年纪。小李成挖坑2年,是个经验丰富的白帽子。
虽然初中的时间课余时间比较宽裕,但是如果每天都花在技术挖掘上,还是会对学习产生影响。小李的构图很清晰。他认为做白帽子要看爱好,上学肯定很重要。没有知识,就不会有发展。父母都很支持,但只是要求不能落下作业。
提交一个漏洞并被认可是快乐的,但挖漏洞的过程很无聊,甚至可能被误解
做不被理解的好事,最多也就是离开;然而,是报告还是利用网站漏洞是白帽子们的选择。左边还是右边?通知站长还是恶意使用?这对于成年人来说也是一个艰难的选择,更何况是比较冲动的年轻人。
小李成表现出了年轻人很难找到的理性和成熟。他知道破坏网站是坏事,而且是违法的。他最佩服360库带计划中的合富滨湖虎子,在大型cms系统中挖了很多漏洞,从未恶意使用过。
喜欢看周星驰电影的肖立成是星爷走红后出生的,但他一直是星爷的忠实泵支持者,这也是肖立成追求的人生目标。对于未来,他踌躇满志,想做一家安全公司,为站长们提供安全服务。
本文链接:http://www.slxf119.com/16086.html 转载需授权!
网友评论