23岁的郑杜涛（音译）是腾讯的一名安全工程师，因为参加新加坡网络安全会议临时入住了新加坡的飞龙酒店，出于程序员的敏感和好奇，决定监测一下酒店的WiFi服务器是否存在漏洞。

第一步，他轻松的通过谷歌搜索到了酒店WiFi系统的默认用户名和密码。在接入酒店WiFi网关后，郑杜涛在接下来的三天内开始执行脚本，破解文件和密码，最后成功登入酒店WiFi服务器的数据库。

经过检查，酒店的服务器模型确实存在一个漏洞，郑杜涛利用该漏洞获取了服务器访问权限，并且在他的个人博客上，郑记录了自己的黑客行为，还在文章里公开了飞龙酒店WiFi服务器的管理员密码...

这篇文章引起了新加坡网络安全局（CSA）的注意，并对其进行了抓捕。

“披露这些访问代码，郑杜涛清楚地知道，飞龙酒店的WiFi服务器上的漏洞极有可能为其他人用于非法目的，从而可能对连锁酒店造成损失，”新加坡网安局副检察长 Thiagesh Sukumaran 说，“郑杜涛先生作为一名网络安全专业人士理应清楚在博客上公布管理员密码后，该密码为非法目的所利用的可能性极高。”

具体的判决结果目前还不得而知。

按理说帮人发现漏洞是个好事儿，为什么反而会被抓捕呢？忠言逆耳么？

这就要给大家介绍一群幕后人物——“白帽子”。

白帽子是相对于黑帽子（即黑客）而言的，他们能识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是直接向厂商公布其漏洞，厂家就可以在黑帽子利用该漏洞之前来修补网络安全问题。

所以，白帽子可以说是网络世界的扫地僧，出手于无形而大隐于市，默默的观察着武林中的暗流。目前主流网络服务商都有专门的部门来接收白帽子的网络漏洞，甚至还向白帽子支付奖金，从而表彰那些为自己网站到找漏洞的白帽子。

像腾讯的那名员工，其实就可以列为“白帽子”的范畴，但对于“白帽子”行为的定义，各个国家的法令是不一样的。

我国自从去年6月1日《网络安全法》正式实施以后，对白帽子参与渗透测试行为提出了明确的法律要求。而这个法令出台的原因，有可能和2015年底的一起“白帽子被捕事件”相关。

2015年底，乌云漏洞平台上的一名白帽子提交了世纪佳缘的一个安全漏洞，世纪佳缘确认并修补了这个漏洞，同时对这位白帽子表示了致谢。但事后他们发现有900多条有效数据被攻击者获取，出于对信息安全的担忧，世纪佳缘选择了报警。

警方调查后才发现只有该名白帽子一人涉嫌此案。在检察院公诉后，被批准逮捕。事件一出，整个安全圈都炸开锅了。

有一条评论是这样说的：在动机上，没有人可以自证清白，但在法律的棋盘上，白帽子确实越界了，虽然可能谈不上是犯罪。

诚然，白帽子一直游走在法律的灰色边缘，其工作属性要求其不可避免地须进入互联网网站，并和黑客使用可能同样的工具软件，从而发现网站漏洞。这一系列的动作确实不太好定义，也不太好界定行为人的实际动机。

并且，白帽子发现安全漏洞并由第三方平台披露可能对相关网站影响很大，如果漏洞在被解决前被黑客利用，或者发布的漏洞信息不实，确实也将严重影响企业的合法权益。

为了加强和规范网络安全的监管，所以才有了《网络安全法》的颁布。但颁布之后很多人又开始担心，觉得这会让安全从业者的活动空间越来越小，捆手捆脚。网络安全法中有这样一个条例：

第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

但国内的很多企业其实是受到过很多白帽子提供的好处的，像360、爱奇艺、京东、小米等等等等，因为企业的网络安全部门精力有限，白帽子就像是外援一样，帮助企业发现并解决过很多的问题，所以白帽子的存在对于很多企业来说是不可或缺的。所以法令颁布的当天，超过19家企业的SRC组成了“SRC联盟”共同上线了“白帽子协议。

这个协议中确定了各自平台的规则和边界，一方面是为了让白帽子放心，另一方面也确定了双方的权利边界和义务。对于没有坏心思的白帽子完全可以和往常一样，找到漏洞，在不对企业造成影响的程度内进行测试，然后提交漏洞。

《网络安全法》的颁布看似给了白帽子很多制约，可从长远看来，规则的制定，对双方来说其实都是一种保护。

最后，还是要为白帽子们说句话。

白帽子这个“行业”确实存在这很多争议，但白帽子之所以被称为白帽子，是因为这是一群拥有着黑客的技术，却在维护网络安全的人。

有一个事情可以明确的告诉大家，做一名黑客远比白帽子好做，来钱也快。

举个例子来说，假如一名黑客攻破了某个大平台的数据库，他就可以把里面的用户信息抓出来然后整理筛选，卖给相关的网络推销公司。就算他只抓取了几百万用户，就算按照几毛钱一条的价格，几十万就到了账户当中。

相比之下，白帽子辛辛苦苦找到了漏洞，提交上去之后还要冒着被人认作嫌疑人的风险，做的事情也是防患于未然，企业肯定不会花几十万来作为奖励。

借用一句说烂了的话：你之所以看不到黑暗，是因为有人竭尽全力把黑暗挡在你看不到的地方。

向那些坚守道德底线原则的白帽子们致敬。

本文转载自：【51CTO官微】

原文链接：https://mp.weixin.qq.com/s/5VCwAUmFT-ziLboAahnE6Q

公众号内回复“1”带你进粉丝群