在以前和現(xiàn)在的
工作中都有過一些安全方面的涉獵,雖然不是很深入,也算是自己的一些經(jīng)歷,在接下來的幾篇
文章中會(huì)逐步跟大家探討安全性
測試,當(dāng)然,更多是
web安全相關(guān)的。而這篇文章,就當(dāng)作是說一些正確的廢話,作為正文前的序。
白帽子與黑帽子
黑客并非都是黑的,白帽就是通過攻擊自己的系統(tǒng)或者聘請(qǐng)來攻擊客戶的系統(tǒng)以便進(jìn)行安全審查,與之相反,黑帽就是大家所熟知的“黑客”或“駭客”。他們往往利用自身技術(shù),在網(wǎng)絡(luò)上竊取別人的資源或破解軟件。
另外,在白和黑之間,還存在灰帽和紅帽,灰帽指的是那些懂得技術(shù)防御原理,并且有實(shí)力突破這些防御的黑客——雖然一般情況下他們不會(huì)這樣去做。與白帽和黑帽不同的是,盡管他們的技術(shù)實(shí)力往往要超過絕大部分白帽和黑帽,但灰帽通常并不受雇于那些大型企業(yè),他們往往將黑客行為作為一種業(yè)余愛好或者是義務(wù)來做,希望通過他們的黑客行為來警告一些網(wǎng)絡(luò)或者系統(tǒng)漏洞,以達(dá)到警示別人的目的,因此,他們的行為沒有絲毫惡意。
紅帽其實(shí)就是以正義、道德、進(jìn)步、強(qiáng)大為宗旨,以熱愛祖國、堅(jiān)持正義、開拓進(jìn)取為精神支柱,這與網(wǎng)絡(luò)和計(jì)算機(jī)世界里的無國界情況不同,所以,并不能簡單講紅客就歸于兩者中的任何一類。紅客通常會(huì)利用自己掌握的技術(shù)去維護(hù)國內(nèi)網(wǎng)絡(luò)的安全,并對(duì)外來的進(jìn)攻進(jìn)行還擊,通常,在一個(gè)國家受的網(wǎng)絡(luò)或者計(jì)算機(jī)受到國外其他黑客的攻擊時(shí),第一時(shí)間做出反應(yīng)、并敢于針對(duì)這些攻擊行為做出激烈回應(yīng)的,往往是這些紅客們。
我們經(jīng)常都會(huì)看到新聞?wù)f某國家政府網(wǎng)站或軍隊(duì)網(wǎng)站被黑,這都是他們紅客干的。最負(fù)盛名的一個(gè)事件就是2001年中美黑客大戰(zhàn),當(dāng)時(shí)中國有8萬多名紅客對(duì)美國發(fā)起總攻,據(jù)網(wǎng)絡(luò)新聞當(dāng)時(shí)經(jīng)過一天一夜的攻擊,被攻陷的美國網(wǎng)站有90多個(gè),被黑的中國網(wǎng)站超過600多個(gè),由于國內(nèi)一些紅客沒有把所黑網(wǎng)站及時(shí)報(bào)上去,中美被黑網(wǎng)站比例大致在3:1左右,而在當(dāng)時(shí),使用較多的就是實(shí)施DOS(denial of service)拒絕服務(wù)攻擊。感興趣的朋友可以問下度娘或谷哥了解更多。
安全攻擊動(dòng)機(jī)
一般來講可以分為以下三種動(dòng)機(jī):
1. 經(jīng)濟(jì)利益,這也是絕大部分黑客所追逐的,而且在經(jīng)濟(jì)利益面前,非常容易被誘惑,白帽走上不歸路,最后被法律所制裁;
2. 技術(shù)炫耀,特別是初學(xué)者都渴望練練手,做出點(diǎn)成績給圈內(nèi)人看,以證明自己,也許并無惡意;
3. 政治目的,上面內(nèi)容已經(jīng)詳細(xì)介紹了這一類型。
黑客組織&論壇
國內(nèi)一些黑客聯(lián)盟包括:中國紅客聯(lián)盟,看雪學(xué)院,中國鷹派聯(lián)盟,黑客基地,邪惡八進(jìn)制。而比較知名的論壇:黑基論壇和Wooyun烏云論壇,后者每天都有很多人提交一些安全漏洞到烏云上,對(duì)
安全測試感興趣的話可以經(jīng)常上去看看別人找漏洞的思路,開拓自己的知識(shí)面。
具備的能力
真正要做好黑客或安全的人員實(shí)屬不易,的確需要眾多方面的能力:
較強(qiáng)編程能力
熟悉瀏覽器及其漏洞
熟悉編程語言及其漏洞
熟悉服務(wù)器及其漏洞
精通協(xié)議
熟練使用相關(guān)工具