8月25日北京消息“土夫子”不会写代码,但这不妨碍他成为白帽黑客,拥有8年运维根基的他,特别擅长挖逻辑漏洞。截止8月24日,他总计向滴滴DSRC提交20个漏洞,累计积分高达11652,高居荣誉排行榜首。近日,这位神秘的白帽黑客对外讲述了如何成为滴滴安全荣誉榜首第一的背后故事。
和惯常的经历不同,“土夫子”高二便辍学,到北京后曾辗转于各类互联网公司工作,包括上市公司、创业公司等。刚接触安全时他还沉浸在《盗墓笔记》里,于是有了“土夫子”这个ID,通过自学,土夫子每天分析10-40个漏洞进行归纳总结,积累了挖漏洞的技能,如今的他一边工作一边兼职做白帽。
一年前,土夫子开始了对滴滴的持续“关注”,那时候滴滴安全刚起步。“我有个朋友,业余时间挖漏洞很厉害,受他影响,我也开始钻研漏洞。运维出身学习安全知识,既是为了自我发展,也是兴趣驱动,正好滴滴安全起步,于是我开始专挖滴滴漏洞,没想到拿了第一名。”
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。这也是所有科技公司都要面临的问题,很多科技公司甚至悬赏高价鼓励白帽黑客提交漏洞,而金钱之外,他们更视挖到漏洞为荣耀,他们在这样的工作中找寻到成就感。
为了挖一个漏洞,土夫子经常对着显示屏一坐就是6、7个小时,最严重的时候得了眼病,去医院开了瓶眼药水,继续挖漏洞,而为了做漏洞测试,因为取消订单太频繁,土夫子三个手机号被封。
“有一次,周五提交了漏洞,与滴滴的安全工程师研究了一晚上没有复现问题,为了复现漏洞,周六在家陪着安全工程师加班,我们两人电话交流,研究一天,终于复现问题。”土夫子说。
对于白帽黑客而言,最大的认可莫过于最迅速的回应,“有一次,我在夜里12点提交一个漏洞,滴滴安全这边竟然立即响应了。”
此外,土夫子称:“DSRC是我见过最厚道的SRC,曾经提交一个漏洞,自评为高危,但滴滴安全工程师审核后打到了严重级别,评分非常厚道。”
所有这些努力没有白费,土夫子获得滴滴安全荣誉榜排行榜第一名,也获得了高额的奖励。同时,他也呼吁白帽黑客:“要多动手,不要做破坏,注意保护公司信息安全,验证漏洞点到为止,不要放shell和拖库。”
据悉,滴滴出行安全应急响应中心(简称DSRC)于去年2015年11月上线,目前拥有“提交漏洞”、“公告”、“礼品商城”、“个人中心“四大版块。如果用户发现滴滴出行产品和业务的安全漏洞,可注册访问滴滴出行安全应急响应中心(sec.didichuxing.com)参与漏洞提交。
相关负责人表示,该平台旨在集合安全领域的专家、白帽子、社会团体及个人共同发现潜在的漏洞信息,并依此建立漏洞统计分析中心,预知并自查风险,及时修复漏洞,帮助提升自身产品的安全性,同时为用户营造一个更安全的互联网出行生态圈。