21世紀(jì)什么最貴，人才。而人才最大的噩夢(mèng)就是——懷才不遇。

烏云深諳此道，手中一萬(wàn)四千名白帽子，無(wú)疑是社區(qū)成立五年以來(lái)最值錢的“資產(chǎn)”。讓這些白帽子堅(jiān)守正義理想的同時(shí)，不至于“啼饑號(hào)寒”，也是烏云團(tuán)隊(duì)這幾年的“規(guī)定動(dòng)作”。

三年前，烏云團(tuán)隊(duì)搞出了一個(gè)“烏云眾測(cè)”。

簡(jiǎn)單說(shuō)來(lái)“烏云眾測(cè)”就是用眾包安全測(cè)試的方式給手下的白帽子“拉生意”。為每一個(gè)想要進(jìn)行安全測(cè)試的企業(yè)選拔30名白帽子，手動(dòng)進(jìn)行滲透測(cè)試。腦洞大開(kāi)的白帽子會(huì)采用各種“刁蠻”的姿勢(shì)試圖進(jìn)入企業(yè)內(nèi)部，然后為企業(yè)修復(fù)他們發(fā)現(xiàn)的漏洞。

客觀來(lái)講這個(gè)策略是成功的。幾年來(lái)“烏云白帽子”的口碑不斷積累，成為了很多人眼里的“金字招牌”。這就導(dǎo)致更多天才白帽子愿意“皈依”到烏云門下。2015年諸如“網(wǎng)易郵箱數(shù)據(jù)泄露”“攜程用戶數(shù)據(jù)泄露”“12306用戶數(shù)據(jù)泄露”“百度全系安卓漏洞”等很多爆炸性的漏洞都是在烏云平臺(tái)上首發(fā)預(yù)警的。和其他各式漏洞平臺(tái)相比，烏云白帽子可謂是風(fēng)頭出盡，讓“人多力量大”這句互聯(lián)網(wǎng)時(shí)代的金句威力初顯。

如果說(shuō)“烏云眾測(cè)”是別動(dòng)小分隊(duì)的話，那么烏云原班人馬剛剛推出的“唐朝安全巡航”系統(tǒng)就算是“人民戰(zhàn)爭(zhēng)”了。

【唐朝安全巡航系統(tǒng)主界面】

唐朝巡航和烏云眾測(cè)最大的區(qū)別就是采用了“人海戰(zhàn)術(shù)+自動(dòng)化”的策略。白帽子在系統(tǒng)中的主要功能就是提交“自動(dòng)化監(jiān)測(cè)漏洞插件”。說(shuō)來(lái)簡(jiǎn)單，這個(gè)插件實(shí)際上是把白帽子手動(dòng)尋找漏洞的方式用自動(dòng)化的方式重現(xiàn)出來(lái)，這樣白帽子就不用在不同的任務(wù)中重復(fù)同樣的滲透過(guò)程了。插件一旦被系統(tǒng)選用，那么一旦企業(yè)運(yùn)用這個(gè)插件搜尋到漏洞，它的作者白帽子就會(huì)獲得一次分成。如果這個(gè)插件被普遍運(yùn)用，那么白帽子就可以坐收“版稅”，在夏威夷的陽(yáng)光下一邊看著草裙舞一邊數(shù)錢了。

烏云創(chuàng)始人劍心把“唐朝”比作一個(gè)航空母艦，“圍繞著企業(yè)的安全邊界去巡航”。優(yōu)點(diǎn)在于，這艘航母上的“艦載機(jī)”（漏洞插件）是會(huì)實(shí)時(shí)升級(jí)的。

用“攻擊者”的思維來(lái)對(duì)企業(yè)安全進(jìn)行測(cè)試，是“唐朝”讓劍心引以為傲的特點(diǎn)。因?yàn)槠髽I(yè)被利用的漏洞往往是低級(jí)而奇葩的。唐朝安全巡航產(chǎn)品總監(jiān) boooooom 向雷鋒網(wǎng)介紹了幾個(gè)奇葩但是屢屢出現(xiàn)的企業(yè)漏洞：

1、弱口令

“你的公司一定存在用自己的姓名+生日作為密碼的人?！币?yàn)榉敝氐墓ぷ饕呀?jīng)把員工累成狗，很多人面對(duì)復(fù)雜的內(nèi)網(wǎng)密碼，內(nèi)心是拒絕的。沒(méi)錯(cuò)，這個(gè)世界正是“加班不息，弱口令不止”的熊樣。你會(huì)問(wèn)：“你不知道我的用戶名，一樣無(wú)法爆破我的驗(yàn)證啊?！睕](méi)關(guān)系，你的身邊一定有叫做諸如“張偉”“王偉”“李偉”“張芳”“王芳”的同事。通過(guò)簡(jiǎn)單的社工庫(kù)運(yùn)用，就有很大幾率爆破你的口令，從而讓黑客進(jìn)入你的內(nèi)網(wǎng)進(jìn)行漫游。

2、“好網(wǎng)站”Github

Github是最大的開(kāi)源代碼庫(kù)，很多程序猿選擇在上面分享自己編寫(xiě)的代碼組件。黑客在為程序猿分享精神點(diǎn)贊的同時(shí)，也會(huì)順便瞅一瞅他是否在代碼里泄露了內(nèi)網(wǎng)數(shù)據(jù)庫(kù)的配置，或者干脆是企業(yè)內(nèi)部郵箱的帳號(hào)密碼。萬(wàn)達(dá)、步步高、唯品會(huì)等數(shù)不勝數(shù)的企業(yè)都倒在了這個(gè)無(wú)厘頭的原因上。

3、“別人家”的漏洞

“CSDN的數(shù)據(jù)泄露跟我公司有什么關(guān)系呢？”關(guān)系就是：你的員工很可能用和CSDN同樣的密碼注冊(cè)了你的企業(yè)郵箱。

根據(jù)烏云白帽子“紫霞仙子”（別幻想了，是個(gè)純爺們）透露：

某在唐朝上提交漏洞插件的白帽子兄弟，第一個(gè)月分紅有1000元，第二個(gè)月分紅就上漲到了4000元。一個(gè)新的漏洞爆出來(lái)，提交插件的人都在爭(zhēng)搶，幾個(gè)小時(shí)之內(nèi)就有四個(gè)類似插件提交。

【這就是傳說(shuō)中的紫霞仙子（感覺(jué)不會(huì)再愛(ài)白帽子了）】

由此看來(lái)，在“唐朝”運(yùn)行初期漏洞插件的行情還是不錯(cuò)的。然而，也有白帽子表示了顧慮：一旦制作了漏洞掃描插件，就相當(dāng)于把獨(dú)門武功公諸于眾。之后自己再用這套功夫在江湖上行走的時(shí)候，就沒(méi)有那么好用了——因?yàn)閯e人花點(diǎn)錢就可以買到你寫(xiě)的武林秘籍。

這個(gè)問(wèn)題的關(guān)鍵在于兩點(diǎn)：

1、你的武林秘籍到底值多少錢？

2、你更在乎錢還是更在乎成就感？

這兩個(gè)問(wèn)題很難回答。也許為了實(shí)現(xiàn)“天下無(wú)賊”的夢(mèng)想，白帽子從來(lái)都需要情懷吧。

不過(guò)烏云社區(qū)的合伙人鄔迪表達(dá)了對(duì)白帽子的充分信心。他對(duì)雷鋒網(wǎng)表示，烏云還是很有情懷的，白帽子并不像有些人想象得那樣惟利是圖。烏云團(tuán)隊(duì)做這些項(xiàng)目的時(shí)候的首要考量是為企業(yè)提供價(jià)值，然后才是讓白帽子賺到合理的錢。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。