在以前和現(xiàn)在的
工作中都有過一些安全方面的涉獵,雖然不是很深入,也算是自己的一些經(jīng)歷,在接下來的幾篇
文章中會逐步跟大家探討安全性
測試,當然,更多是
web安全相關的。而這篇文章,就當作是說一些正確的廢話,作為正文前的序。
白帽子與黑帽子
黑客并非都是黑的,白帽就是通過攻擊自己的系統(tǒng)或者聘請來攻擊客戶的系統(tǒng)以便進行安全審查,與之相反,黑帽就是大家所熟知的“黑客”或“駭客”。他們往往利用自身技術,在網(wǎng)絡上竊取別人的資源或破解軟件。
另外,在白和黑之間,還存在灰帽和紅帽,灰帽指的是那些懂得技術防御原理,并且有實力突破這些防御的黑客——雖然一般情況下他們不會這樣去做。與白帽和黑帽不同的是,盡管他們的技術實力往往要超過絕大部分白帽和黑帽,但灰帽通常并不受雇于那些大型企業(yè),他們往往將黑客行為作為一種業(yè)余愛好或者是義務來做,希望通過他們的黑客行為來警告一些網(wǎng)絡或者系統(tǒng)漏洞,以達到警示別人的目的,因此,他們的行為沒有絲毫惡意。
紅帽其實就是以正義、道德、進步、強大為宗旨,以熱愛祖國、堅持正義、開拓進取為精神支柱,這與網(wǎng)絡和計算機世界里的無國界情況不同,所以,并不能簡單講紅客就歸于兩者中的任何一類。紅客通常會利用自己掌握的技術去維護國內(nèi)網(wǎng)絡的安全,并對外來的進攻進行還擊,通常,在一個國家受的網(wǎng)絡或者計算機受到國外其他黑客的攻擊時,第一時間做出反應、并敢于針對這些攻擊行為做出激烈回應的,往往是這些紅客們。
我們經(jīng)常都會看到新聞說某國家政府網(wǎng)站或軍隊網(wǎng)站被黑,這都是他們紅客干的。最負盛名的一個事件就是2001年中美黑客大戰(zhàn),當時中國有8萬多名紅客對美國發(fā)起總攻,據(jù)網(wǎng)絡新聞當時經(jīng)過一天一夜的攻擊,被攻陷的美國網(wǎng)站有90多個,被黑的中國網(wǎng)站超過600多個,由于國內(nèi)一些紅客沒有把所黑網(wǎng)站及時報上去,中美被黑網(wǎng)站比例大致在3:1左右,而在當時,使用較多的就是實施DOS(denial of service)拒絕服務攻擊。感興趣的朋友可以問下度娘或谷哥了解更多。
安全攻擊動機
一般來講可以分為以下三種動機:
1. 經(jīng)濟利益,這也是絕大部分黑客所追逐的,而且在經(jīng)濟利益面前,非常容易被誘惑,白帽走上不歸路,最后被法律所制裁;
2. 技術炫耀,特別是初學者都渴望練練手,做出點成績給圈內(nèi)人看,以證明自己,也許并無惡意;
3. 政治目的,上面內(nèi)容已經(jīng)詳細介紹了這一類型。
黑客組織&論壇
國內(nèi)一些黑客聯(lián)盟包括:中國紅客聯(lián)盟,看雪學院,中國鷹派聯(lián)盟,黑客基地,邪惡八進制。而比較知名的論壇:黑基論壇和Wooyun烏云論壇,后者每天都有很多人提交一些安全漏洞到烏云上,對
安全測試感興趣的話可以經(jīng)常上去看看別人找漏洞的思路,開拓自己的知識面。
具備的能力
真正要做好黑客或安全的人員實屬不易,的確需要眾多方面的能力:
較強編程能力
熟悉瀏覽器及其漏洞
熟悉編程語言及其漏洞
熟悉服務器及其漏洞
精通協(xié)議
熟練使用相關工具