【白帽】阿里“先知”：白帽子的日常與信仰

在《圣經》中，先知摩西高舉手杖，在波濤洶涌的紅海中打開一條通路，帶著以色列人走出埃及,前往應許之地；在網絡游戲中，先知身處戰場的遠端，于股掌之間操控著風云變幻的戰局。

在安全圈，也有著這樣的“先知”：先知不是某一個人，而是一群白帽子。他們是互聯網安全的觀察者，靜靜地發掘著每一個潛在的危機。

以一行行代碼作為手中的法杖，他們引領著互聯網走在更安全、更開放的道路上，共同創造著互聯網安全的新世界。

神秘的安全脈搏要保持神秘性

縱覽“先知”平臺的名人榜榜單，你會發現，有一個名字時常盤踞在前幾名的位置，他就是安全脈搏。

從加入先知平臺到今天，安全脈搏已經提交了上百個漏洞，成為先知積分排行第一的白帽子，但提到這一傲人成績時，他的語氣輕描淡寫，隨意得如同在談午餐吃了什么：“大概吧，記不太清了?！?/p>

安全脈搏的黑客之路始于2005年：大學時，他被一位學長的逆向破解技術所折服，有意拜師學藝，學長卻告訴他：“你先學好匯編吧?！边^了一段時間，他偶然在街角的報刊亭看到一本《黑客手冊》，竟由此發現了新世界的大門：web滲透?！爱敃r覺得web滲透成就感更強，于是走上了這條不歸路?！?/p>

加入“先知”后的斐然成就，讓旁人對安全脈搏艷羨不已，直呼“大神”，但他卻從不以此自傲：“做白帽，最重要的還是保持平常心?！?/p>

對于眾測平臺的優勢，作為從業者的他深有感受：“從漏洞發現數量、效果及周期上來說，眾測平臺確實好一些，畢竟眾人拾柴火焰高嘛?！彼€希望看到更多的白帽子加入這一行列：“想和先知上大神同臺競技的話，這是一個不錯的機會，還可以順便賺點零花?！?/p>

說是“賺點零花”，但事實上，白帽子在“先知”上的所獲，遠超零花錢的范疇：不同等級的漏洞都有相應獎勵，單個漏洞最高可以達到五萬元。每個月的月獎之星月入都超過一萬。時至今日，安全脈搏已經在先知平臺上累計獲得獎金十萬多。豐厚的獎金固然是一種激勵，但他還收獲了更重要的東西，那就是“名利之外對技術原始的熱愛和疆場匹敵的豪情?！?/p>

除了白帽子的身份，他還堅持帶領安識科技的團隊運營著優質技術自媒體社區http://www.secpulse.com，用技術親手為安全世界添磚加瓦的同時，他也通過自己的聲音，讓更多的人能深入了解互聯網安全。

獨自等待

雖然并非安全從業者，但在安全圈，獨自等待已經算得上是老資格了：除了“先知”的平臺漏洞挖掘者，他還是資深網絡安全博主，waitalone.cn的掌門人。

在提到自己在“先知”上的成績時，他神秘地笑著，“不便透露，進駐你就知道了?！贝笈兺诙此俣葘嵲谔炝?，壓力山大啊?！薄按笈！闭f的不是別人，正是“安全脈搏”。話雖如此，但在先知的名人榜上，他的成績僅次于安全脈搏，排名第二位。

獨自等待的安全生涯是從一本書開始的：高一時，他在學校對面的小書店偶然看到一本凱文·米特尼克的自傳，立刻被深深征服。此后，他放棄了訂閱多年的雜志《科技縱橫》，取而代之的是各種黑客雜志：《非安全》《黑客手冊》《黑客防線》《黑客x檔案》。當時，電腦尚未普及，獨自等待對安全的認識也只能停留在理論階段，直到上了大學，他才有機會接觸到真正的IT技術，還親歷當年舉世矚目的中美黑客大戰。

如今，獨自等待依然堅持運營著自己的安全博客：http://www.waitalone.cn。該博客建立于2009年2月14號，到今天已有七年時間。提及自己的“小天地”，他帶著幾分得意和自豪：“雖然我技術一般，但多少還能為各位新手小伙伴提供一個知識分享的平臺?！?/p>

在“先知”的名人榜榜單上，獨自等待的頭像尤為顯眼：一個Q版的超人驕傲地笑著，鮮紅的斗篷正隨著風上下翻飛。他本人正像是一個小小的超級英雄，憑借著自己的能力守望著安全的天空。

男仔無才

“男仔無才”的名字帶著明顯的調侃意味：在世俗標準里，“男子”是必須能夠建立一番功業的，要是“無才”，那成了什么了？他卻偏偏用“男子無才”四個字作為ID。

據了解，之所以用這樣一個ID，是要告誡自己要保持低調，繼續努力，直到得到自己的認可。實際上，他也并非真的“無才”：能登上“先知”的名人榜，這哪是平庸之輩能做到的？

有趣的人通常都對世界充滿了好奇心，男仔無才也不例外，他進入安全圈，就是因為對于新知識的好奇：大學期間在網絡中心做維護，他發現網站代碼里總有一些奇怪的鏈接?！斑@究竟是哪里來的，感覺很酷?！背鲇谶@樣的好奇，他開始接觸安全技術，讀研時更是索性選擇了網絡安全專業。

大學期間接觸了SRC和漏洞平臺的男仔無才在聽說先知平臺以后，就合計著“過來嘗試嘗試”?！艾F在的安全氛圍挺不錯的，在研究技術的同時還可以賺一些外快。比如一個在校生，通過挖漏洞已經可以基本解決自己的生活費用，大牛們更是做到足以補貼家用了。自己能獲取一些生活所需，又能幫助企業的安全建設，利人利己，何樂而不為呢？”

男仔無才的生活準則是“踏實地學習，快樂地生活”。他這樣解釋“踏實地學習”：“別人學習的時候你也在學習，那是應該的；別人在玩的時候你在學習，那是賺的?！焙蟀刖鋭t無需多言，安全研究已經賦予他足夠的樂趣。對他來說，先知的模式就像是網絡游戲一樣充滿樂趣，不同點在于，游戲需要投入，挖漏洞卻可以賺錢：“賺些零花錢買點兒花生瓜子小吃果盤飲料啥的，多好啊?！?/p>

對于未來，他的期許也幽默感十足：“期待先知的下一個版本，讓所有拿到積分的童鞋都可以兌換上小禮物，至少應該換件T-shirt嘛——大牛們在群里一直嚷著沒衣服穿，都要光著腚啦?！?/p>

熊貓

在提及安全最薄弱的環節時，“男仔無才”笑著說：“大概是人吧，因為是人在一直寫bug?！痹谶@一點上，沒有誰比熊貓感受得更深刻了。

 “人才是一個企業的根本，以前人們總是說，安全源于信息的不對稱，漏洞產生于人們對安全的無知?，F在我們可以借助許多先進的掃描器去發現很多系統上的漏洞，但是并沒有去試圖解決那個導致漏洞的人，也就無法避免再出現類似的錯誤。只有從根本上去加強企業人員的安全素質，才可以更好地推行企業安全制度，從根本上解決企業安全問題?！?/p>

對于人造成的安全問題，熊貓認為好的解決之道也在于人，而眾測恰恰“以人為本”的：“安全包含方方面面，每個人的擅長的領域也各不相同，眾測會讓你發揮你擅長的東西去進行測試，各個層面最擅長的人去做自己最擅長的事情，盡可能多地為企業發現漏洞。并且有運營人員的把控，減少了廠商和白帽子之間不必要的麻煩?！?/p>

對于新人，熊貓鄭重地給出了一句忠告：“千萬別來?！彪S后他又笑著補充了一句：“你們來了，我的獎金肯定被你們搶光啦，哈哈?！?/p>

那么，這些自帶傳奇光環的白帽子所說的“先知”，到底是什么呢？

先知（安全情報平臺）是一個幫助企業發現安全漏洞和風險的私密眾測平臺。企業加入先知后，可自主發布獎勵計劃，激勵先知平臺的白帽子或者安全公司來測試和提交企業自身網站或業務系統的漏洞，全面發現安全問題和風險，按漏洞效果付費。它也是國內第一家做到對白帽子24小時內完成從漏洞確認到賞金支付的眾測平臺