世界上的許多沖突，歸根結底就四個字：認知差異。打個比方：

小張他女朋友說該換裙子了，小張以為她嫌天氣太熱，而女友想的卻是“又該買新裙子了”。

面對同一個事情，認知的不同導致了角度、觀點的不對稱，由此引發(fā)沖突。這種認知差異的怪圈，存在于每個人的身上，哪怕是看起來無所不能的黑客也無法逃脫。而且，當認知差異發(fā)生在黑客身上，事情變得更加有趣。

安全眾測平臺漏洞盒子的負責人曾裕智向雷鋒網(wǎng)講述了他看到的，黑客遭遇的認知差異。

認知差異一：漏洞還是 BUG？

程序員通常喜歡把程序出現(xiàn)的所有問題統(tǒng)稱為“Bug”，無論是編程問題、邏輯問題，還是設計問題。然而，每個人對 Bug 的認知不同，便產(chǎn)生了認知差異。

曾裕智為雷鋒網(wǎng)編輯講了一個真實案例：

一個公司開發(fā)的 APP 具備發(fā)送短信驗證碼的功能，它的流程是“輸入手機號并確認 → 收到短信驗證碼 → 填入驗證碼 → 驗證完成?！?整個短信驗證流程很完整，在開發(fā)者眼里，沒有任何 “BUG” 。

然而這世上卻有種叫“短信轟炸機”的東西，攻擊者可以通過大量重復調(diào)用APP的短信接口來對某一個號碼實施“短信轟炸”。于是，在黑客的眼里，這個流程有“BUG”，因為他沒有對短信轟炸問題做處理。

▲短信轟炸器截圖，圖片來自網(wǎng)絡

這就是開發(fā)者和黑客的典型認知差異，前者看重邏輯和預期，后者看重可能性和危害。

漏洞盒子作為一個漏洞眾測平臺，站在企業(yè)和白帽子的中間，他們需要借助民間白帽子黑客（安全測試人員）的力量來幫助企業(yè)發(fā)現(xiàn)安全漏洞，便注定每天面對無數(shù)類似的認知差異。

不過他們找到了一個解決思路：明確定義和規(guī)則。他們知道，當雙方產(chǎn)生認知差異時，只有從雙方都認同的定義和規(guī)則出發(fā)，才可能達成最后的一致。

他們把“安全漏洞”定義為“可能對業(yè)務造成不良影響或損失的缺陷，一旦處理不當就可能引發(fā)安全事件和安全事故?！?/strong>。這和安全行業(yè)通用的定義，也是雙方都認同的。

按照這樣的定義，上文案例中的問題就不難處理。企業(yè)的 APP 一旦被攻擊者短信轟炸，輕則造成短信資源浪費，重則引起大量用戶投訴，導致短信接口屏蔽被電信運營商屏蔽，造成業(yè)務中斷。因此，短信接口沒有做防攻擊處理，應該視為“安全漏洞”。

“最后雙方達成一致，APP開發(fā)者對短信驗證碼接口加入了驗證碼，并且對短信次數(shù)進行了限制，從而降低了被利用于短信轟炸的風險。”曾裕智說，這其中最重要的一點，就在于對安全漏洞及安全事件的定義。

認知差異二：白帽子，黑客，還是安全專家？

漏洞盒子首頁上有句這樣的話：

漏洞盒子是一個互聯(lián)網(wǎng)安全測試平臺，它的模式是眾包全球各地的網(wǎng)絡安全專家，讓他們在平臺上去為企業(yè)解決各種各樣的網(wǎng)絡安全問題。

這句話里的“安全專家”，指的是白帽子（善意的黑客）。但漏洞盒子更愿意稱他們?yōu)椤熬W(wǎng)絡安全專家”而非“白帽子”或“黑客”，因為人們黑客這個詞本身就存在認知偏差。

黑客是什么？有人覺得它具有褒義，只有技術高超的人才有資格叫黑客；有人覺得黑客帶有貶義，他們喜歡利用技術來搞破壞和惡作??；而更常規(guī)的解釋則是一個中性詞，意為“精通電子計算機技術的人”。

對“黑客”的認知差異體現(xiàn)在漏洞平臺上，最直接的體現(xiàn)就是廠商無法徹底擺脫對白帽子的忌憚，他們擔心所謂“安全專家”會在測試漏洞時做一些壞事，拖走他們的數(shù)據(jù)庫、泄露商業(yè)隱私等等。

這一點和網(wǎng)約車非常相似，3年前，網(wǎng)約車乘客遭遇司機不法侵害的事件偶有發(fā)生，許多漂亮姑娘不敢用打車軟件，因為在許多人的認知當中，網(wǎng)約車的前身就是不安全的“黑車”?！鞍踩珜＜摇钡那吧斫K究還是黑客。

網(wǎng)約車解決這個問題的方法是“明確規(guī)則”，比方說對司機進行實名認證。而漏洞盒子解決認知差異問題的方法也是明確規(guī)則。曾裕智告訴雷鋒網(wǎng)，漏洞盒子主要從三個方面對交易過程進行嚴格的風險控制：

• 對象風控：是指平臺會實名制測試人員的身份，同時也校驗企業(yè)的資質(zhì) ——即打車之前先實名登記司機和乘客身份。

  
  

• 過程風控：是指平臺會提供網(wǎng)絡鏡像流量、VPN等，確保審計測試人員的行為 —— 即乘車時在車里安裝一個行車記錄儀。

  
  

• 結果風控：是指通過法律協(xié)議，嚴禁“白帽子”對外透露測試過程和結果的任何細節(jié)?！?即簽約不允許透露乘客信息。

如今網(wǎng)約車已經(jīng)成為許多人生活的一部分，這在某種程度上得益于規(guī)則的完善。同樣基于共享模式的“安全眾測”，未來或許也會在不斷完善的規(guī)則之下，逐漸被更多的人所接受。

認知差異三：高危漏洞，還是低危漏洞？

曾裕智告訴雷鋒網(wǎng)，在漏洞盒子的平臺上進行安全檢測，一開始不用支付任何費用。檢測結束之后，平臺會按照漏洞數(shù)量和危害級別計費，沒有發(fā)現(xiàn)問題一分錢也不用付，即所謂的“按效果付費?！?/p>

這將導致了另一個認知差異：既然按效果付費，效果好不好，誰說了算？

曾經(jīng)有這么個段子，一家餐廳做關于菜品價格的問卷調(diào)查，結果價格一降再降，顧客依然在問卷里表示“太貴”，老板很郁悶，明明自家菜價比別家低很多，為什么顧客還覺得貴？一名服務員點醒他：這世上哪有嫌便宜的？就算你免費贈送，也會有人想讓你倒貼錢。

同樣的道理，讓企業(yè)來評定安全效果，永遠都是“不夠好”，讓測試人員來評定，永遠都“很好”。

曾裕智告訴雷鋒網(wǎng)，解決辦法依然在于“雙方都認同的定義和規(guī)則”。正因如此，漏洞盒子在漏洞價值評定上采用國際公認的漏洞評級標準 CVSS 。

據(jù)雷鋒網(wǎng)了解，CVSS標準由安全組織 FIRST 管理。這個組織來頭相當大，主要成員是各國的國家應急響應中心以及谷歌、蘋果這樣的行業(yè)巨頭，國內(nèi)僅有華為、中興兩家是企業(yè)成員。CVSS 漏洞標準在行業(yè)內(nèi)具有相當高的權威性。

▲CVSS標準示意圖 ，圖片來源漏洞盒子官網(wǎng)

無獨有偶，此前美國知名的漏洞平臺 Hacker one 的首席運營官（COO） 王寧向雷鋒網(wǎng)編輯透露，他們也曾遭遇過因漏洞鼓勵計劃沒寫明確，造成白帽子和企業(yè)雙方的誤解。

就在 2017年3月中旬，雷鋒網(wǎng)得知， Hacker one 也開始放棄他們原本自己制定的漏洞分級評定標準，不斷向 CWE、CVSS 等行業(yè)通用標準靠攏。今年五月份， Hacker one 將發(fā)布美國國防部推出“黑掉美國空軍”漏洞獎勵項目，鼓勵黑客們來漏洞平臺黑掉美國國防部。

Hacker one 能夠得到國防部的信賴，相信其中的一大原因就在于其規(guī)則的公認性。

▲“黑掉空軍”宣傳海報

黑客與規(guī)則，說起來其實挺有趣的。在雷鋒網(wǎng)編輯眼里，黑客通常是打破規(guī)則，不受約束的角色，而像漏洞盒子這樣漏洞平臺的出現(xiàn)，又恰恰要為黑客提供一套規(guī)則，讓他們遵循平臺的規(guī)則行事。或許未來“黑客”這個詞會越來越少用，而更多出現(xiàn)在我們眼中的將是“網(wǎng)絡安全專家”。又或者，關于黑客是否“喜歡打破規(guī)則，不受約束”的話題，同樣存在認知差異。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。