|
@XDiLa 你不要激动,有时候可以冷静的看一下别人的观点,也许别人经历的和你经历的不一样,然后再做判断。
1 、早期互联网安全宽松时期,很多人把这些当成是一种兴趣,因为挖洞提交到公开,可以吸引一大批“粉丝”,有一种就感,并不是为了什么大企业“奖励”。在法律严格的过渡期,我认识的一个人走正常途径提交给腾讯命令执行漏洞,奖励了他几百个 QB ,我想看下漏洞细节都不行,从此以后他就不怎么玩了。
2 、提交的漏洞后面是所有人可以随便看的,并不会像现在一样看漏洞具体细节那么困难。举个例子:大牛 A 挖到了某银行一个活动逻辑漏洞,可以“刷钱”,虽然漏洞修复了,但是很多人可以看细节,有思路后就可以找出其他产商类似漏洞,门外汉都能去挖洞,人一多推动整体安全性提高,如果不让看,存在类似风险的项目可以说 99%都不会被提前关注修复,只能等问题发生。
3 、你是否知道各种白帽子被抓事件?袁炜世纪佳缘、乌云创始人方小顿、京东贾伟。。。这也是政策严格打压后出现的事情,寒蝉效应,至那以后我关注的很多写漏洞连载小说的大牛也销声匿迹了。
现在从事安全行业的一个朋友,批量扫描,匹配下公开的漏洞特征,这种工作早期叫“脚本小子”,并不是那种真正的大牛。我觉得厉害的人主要是看思维思路,社工能力,关键的地方拿出工具致命一刀,快手出现的问题,绝对不是那种坐办公室拿提交 SRC 的安全从业人员能搞定的,因为有技术能力强的人,他压根不需要拿工资。 |
