在以前和現在的
工作中都有過一些安全方面的涉獵,雖然不是很深入,也算是自己的一些經歷,在接下來的幾篇
文章中會逐步跟大家探討安全性
測試,當然,更多是
web安全相關的。而這篇文章,就當作是說一些正確的廢話,作為正文前的序。
白帽子與黑帽子
黑客并非都是黑的,白帽就是通過攻擊自己的系統或者聘請來攻擊客戶的系統以便進行安全審查,與之相反,黑帽就是大家所熟知的“黑客”或“駭客”。他們往往利用自身技術,在網絡上竊取別人的資源或破解軟件。
另外,在白和黑之間,還存在灰帽和紅帽,灰帽指的是那些懂得技術防御原理,并且有實力突破這些防御的黑客——雖然一般情況下他們不會這樣去做。與白帽和黑帽不同的是,盡管他們的技術實力往往要超過絕大部分白帽和黑帽,但灰帽通常并不受雇于那些大型企業,他們往往將黑客行為作為一種業余愛好或者是義務來做,希望通過他們的黑客行為來警告一些網絡或者系統漏洞,以達到警示別人的目的,因此,他們的行為沒有絲毫惡意。
紅帽其實就是以正義、道德、進步、強大為宗旨,以熱愛祖國、堅持正義、開拓進取為精神支柱,這與網絡和計算機世界里的無國界情況不同,所以,并不能簡單講紅客就歸于兩者中的任何一類。紅客通常會利用自己掌握的技術去維護國內網絡的安全,并對外來的進攻進行還擊,通常,在一個國家受的網絡或者計算機受到國外其他黑客的攻擊時,第一時間做出反應、并敢于針對這些攻擊行為做出激烈回應的,往往是這些紅客們。
我們經常都會看到新聞說某國家政府網站或軍隊網站被黑,這都是他們紅客干的。最負盛名的一個事件就是2001年中美黑客大戰,當時中國有8萬多名紅客對美國發起總攻,據網絡新聞當時經過一天一夜的攻擊,被攻陷的美國網站有90多個,被黑的中國網站超過600多個,由于國內一些紅客沒有把所黑網站及時報上去,中美被黑網站比例大致在3:1左右,而在當時,使用較多的就是實施DOS(denial of service)拒絕服務攻擊。感興趣的朋友可以問下度娘或谷哥了解更多。
安全攻擊動機
一般來講可以分為以下三種動機:
1. 經濟利益,這也是絕大部分黑客所追逐的,而且在經濟利益面前,非常容易被誘惑,白帽走上不歸路,最后被法律所制裁;
2. 技術炫耀,特別是初學者都渴望練練手,做出點成績給圈內人看,以證明自己,也許并無惡意;
3. 政治目的,上面內容已經詳細介紹了這一類型。
黑客組織&論壇
國內一些黑客聯盟包括:中國紅客聯盟,看雪學院,中國鷹派聯盟,黑客基地,邪惡八進制。而比較知名的論壇:黑基論壇和Wooyun烏云論壇,后者每天都有很多人提交一些安全漏洞到烏云上,對
安全測試感興趣的話可以經常上去看看別人找漏洞的思路,開拓自己的知識面。
具備的能力
真正要做好黑客或安全的人員實屬不易,的確需要眾多方面的能力:
較強編程能力
熟悉瀏覽器及其漏洞
熟悉編程語言及其漏洞
熟悉服務器及其漏洞
精通協議
熟練使用相關工具