十八岁白帽子与“攻陷五角大楼”众测计划
美国国防部前不久在Hackone开展了第一次政府级别的安全众测,并且得到了很好的响应。在众测项目开展六个小时后,美国国防部就收到两百多个安全漏洞。然而让我们震惊的是这次参加计划的黑客里面有一名18岁的高中生。
David Dworken
实际上早在美国国防部开展这个机会之前,其它的大公司早有自己的漏洞奖励计划,比如Google,FaceBook等。这个漏洞计划不仅让白帽子可以为自己的努力赚取到赏金,同时也能够满足他们渗透测试的好奇心。在这次众测之后,美国国防部考虑在其它漏洞平台上也开展相关的众测服务,并且向美国的大型企业学习相关的经验和知识。
18岁的白帽骚年入选
这个众测项目吸引了很多的黑客,自然也包括David Dworken。但是他有些与众不同,他只有18岁。更奇葩的是他参加者众测项目只是为了得到免费的体恤。在采访时他说道:“我花费了大概20个小时在这个众测项目上,因为他们提供的衣服实在是太炫酷了。”
在高中时期,David在Hackone众测平台上注册了一个账号,并且挖到很多公司的漏洞,比如Netflix。David说道:“那个漏洞能够让我在它的服务器上创建任何文件,幻想一下,如果我创建了一个虚假的Netflix登陆页面,并且也是用Netflix的URL,那么我就可以盗取到很多人的Netflix账户。当然Netflix的工程师也很给力,很快就把这个漏洞给修复了。”
随着时间的推移,David也获得了越多的安全检测经验。于是他开始慢慢的查找一些更大厂商的漏洞。David还从Uber那里获得过八千美元的漏洞奖励。他如此说道:“说实话,众测计划是在是太神奇了,黑别人还有钱拿。但是我做这些只是感觉好玩罢了,并且我的所作所为是正确的。”
这样的日子直到有一天,他报名参加了美国政府组织的众测项目—“攻陷五角大楼”。美国国家公共广播电台通知他需要离开学校与他的父亲一同前往美国五角大楼。美国政府展开这个众测项目的时候就有一个要求,就是参赛人员必须是美国本土居民,并且在报名后会被进行国土安全检测。虽然David有很多挖掘漏洞的经验,但是年龄太小,美国政府部门只希望这个项目能够对他进行一些锻炼。他说道:“这个是在是太让人震惊了,我没想到美国政府这边会选到我!”
同时还有一个非常有趣的事情发生了。由于他的选修考试时间和参赛时间重叠了,所以他必须快速的对漏洞进行挖掘。最终结果是,在前面12个小时内,他挖掘到了五个漏洞,然后赶回学校参加考试去了。David:“你知道的,Hackone上面的检测项目都是有检测范围的,这次的政府众测项目也是一样。但是他们的系统上有一些漏洞属于检测范围外的,如果他们要让这些系统足够安全,他们需要一个专业的安全小组或者足够完善的众测。”
“攻陷”五角大楼计划
在检测中,他挖到几个美国国防部网站的高危漏洞,从项目中脱颖而出。他如此说道:“实际上,能够以这种方式服务我的国家我还是很高兴的。实际上很多黑客非常愿意帮助他人,并不是为了金钱,而是就是自身的精神享受。”
美国政府为了这个众测项目花费了大约15万美金,然而David说道:“好吧,虽然钱有些多,但是要知道如果你选择以常规的安全公司来检测漏洞,那么费用可能在百万美金左右,而且效果还没众测理想。”实际上早在三年前,美国国防部就花费了五百万美元检测漏洞,结果连十个漏洞都没找到。
这次“攻陷五角大楼”众测项目,有1400人参与,其中250个白帽子为其提交漏洞,138个白帽子获得奖金。最高危的一个漏洞得到了3500美元的奖励,平均每个漏洞的奖励在588美元,最厉害的一个白帽子得到了1.5万美元的奖励。
或许是由于时间关系,David提交的漏洞与其它黑客提交的漏洞“撞洞”了(指示某个人提交的漏洞与他人提交的相同),所以他并没有获得现金奖励,这里很是遗憾。但是他得到了非常宝贵的漏洞挖掘经验。今年的秋天,他即将前往波士顿东北大学深造网络安全学。
美国政府和企业都非常赞赏众测项目,并且都是授权检测和有着非常规范的检测范围。反观国内的,虽然目前国内安全市场比以前有较大的积极反应,但是普遍还存在一个未授权检测,检测范围不清楚,等问题。在美国有着一套PTES(渗透测试标准),并且目前打算做PTES 2.0了,而国内连一个基础的PTES都没有。我不由得想起前段时间世纪佳缘和那位白帽子的纠纷。实际上这个谁的错都不是,而是目前,中国的安全检测还没形成授权化,合法化和规范化所导致的。
====================================分割线================================
本文转自d1net(转载)
十八岁白帽子与“攻陷五角大楼”众测计划相关推荐
- 十八岁的儿子十七岁的妈
有个叫浪子张三的长工,有一天东家让他去地里送饭,走到半路上张三见一伙骤马(差官)抬着花轿.骑着高头大马吹吹打打 地迎面而来,张三寻思他们不是接官的.就是迎亲的,反正与自家无关,因此也没在意就过去了.但 ...
- hangfire 过期记录_韩剧丨顶楼、空洞、再次十八岁、僵尸侦探、青春记录
顶楼 更新至01集 主演: 李智雅 / 柳真 / 严基俊 / 奉太奎 Tae-gyu Bong 剧情:该剧讲述为了跻身上流社会而堵上人生.奋力奔走的女主的欲望和母性,以及置业暴富的成功故事. 空洞 更 ...
- 罗永浩:我今年四十八岁,还可以承受无数次的失败;iOS14 或将推出系统级「小程序」功能; PyCharm新版发布| 极客头条...
整理 | 屠敏 头图 | CSDN 下载自视觉中国 快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦, ...
- 你可以和十八岁一无所有的男生谈恋爱,但是当他二十八岁的时候还是一无所有,我劝你趁着离开。...
点击上方 蓝字关注我们! 这碗毒鸡汤我虽然不知道是谁说的,但是我先干为敬. 但是首选我想问一下酿出这碗毒鸡汤的人 您老,上没上过学啊? 接没接受过正常教育? 举个别栗子 柳传志:四十岁才创立联想,二十 ...
- 十八岁就不要进来了,你们看不懂这个贴
十八岁以下{禁}{禁}{禁}!你们不适合看这个贴 回想起童年...又感受到那份童真,童趣!!!或许,那才是我永恒的财富~ 这些图片感觉好亲切 出生于75-85年最全的怀旧东东 如果触动了你心中的回忆, ...
- 咖说丨非对称加密:十八岁给我一千个姑娘
本期好友:村头二旧 本文转自"加密二锅头". 你十八岁的时候在干什么? 是坐在高中的教室里备战大考,还是在大学的教室里打盹儿发呆,是在操场上挥汗如雨,还是在别的什么地方气喘如牛? ...
- 那个人对话了200亿次的微软小冰,就快十八岁了
如果你还没有体验过微软小冰的伶牙俐齿,那么你真的已经Out了,因为已经有4200万人和她进行了200亿次对话.9月17日这个阅人无数的超能小姑娘就要年满18周岁了. 不同于苹果Siri和亚马逊Alex ...
- 奔跑吧,十八岁的Dimple
我的十八岁和西方节日都挺巧的,有时候遇上圣诞节,亦或是平安夜,今年又遇上黑五,硬生生地和西方人一起愉快的过节了. 又到了一年一度发深切感慨的日子,这件事情已经坚持好几年了,就是一直没成体系,求学的时候 ...
- 心疼你十八岁写下遗书 骄傲你不惧险跳伞救灾
周末给妈妈打电话,电话一接通就听见那头说:"我们家驰远去四川跳伞救灾了!"我一下子都反应不过来,磕巴着问:"弟弟他不是在西藏当兵吗?他不是伞兵啊,怎么会跳伞?" ...
- 一个人的旅行之澳门 十八岁出门远行
原文地址: 一个人的旅行之澳门 十八岁出门远行 (来自 @轻博客) 作者: 合作社V5嘲 余华一篇名为<十八岁出门远行>的短篇小说一直给我留下深刻的印象,哪怕若干年后的今天,还信手拈来. ...
最新文章
- Android之底部Dialog里面放EditText点击布局顶上去效果
- ASP调用.Net dll
- 计算机英语input,人教版高中英语选修计算机英语VoiceInput.ppt
- 项目分布式部署那些事(1):ONS消息队列、基于Redis的Session共享,开源共享
- Android创建启动画面
- 作业3_interview_傅志阳_1101210634
- 项目实例:模十状态机与7段译码器显示系统,Quartus环境(文末附程序,百度文库里的)
- xml格式的word转为标准格式_保持的怎么保证Word格式不变?4个技巧需要带走
- Windows10下VB6.0开发——利用PictureBox控件实现数据点实时绘图
- JavaScript:手写JSONP
- python selenium 获取网页源代码
- 光滑曲线_曲线的曲率
- RSA密钥对生成工具代码
- (附源码)ssm高校学生档案信息管理系统 毕业设计 010936
- Dell Inspiration 15 7560 增加内存条手把手教学
- RISC-V的ARTY工程实现
- codewars练习(5)backwardsPrime--提交失败-Execution Timed Out (12000 ms)
- 台湾东部海域发生有感地震 暂无灾情传出
- 旅行时通过树莓派和 iPad Pro 备份图片
- 从字节跳动离职后,拿到探探、趣头条、爱奇艺、小红书、15家公司的 offer
热门文章
- php 连接局域网打印机,如何添加局域网打印机?局域网打印机添加方法介绍
- 12款自动生成器,无聊人士自娱自乐专用
- 团队作业——项目验收与总结博客
- 分布式系统如何保证数据一致性
- 电脑键盘各按键的作用及常用的快捷键总结
- php rgb转cmyk,php – 使用Imagick将图像从RGB转换为CMYK
- 计算机扫描的配置文件在哪里找,打印机扫描文件到电脑哪里找
- gtool:操作genotype data的利器
- 计算机网络华为路由器配置实验,华为路由器的配置实验
- 计算机表格函数最大值操作,使用MAX最大值函数计算excel表格中学生成绩的最大值...