当前位置:首页>文章中心>行业新闻>一个15岁的“小黑客” 从被骗到成为专家

一个15岁的“小黑客” 从被骗到成为专家

发布时间:2014-01-15 点击数:1214
15岁,花季年龄。当大多数孩子还在奔波于补习班的时候,15岁的李成已经是一名小有名气的“白帽子”了,并成为360库带计划“2013年度最有价值白帽子”候选人行列。

一个游戏钓鱼网站引发的学习

2010年,美国成立网络战司令部,并计划在今后几年把网络安全部队扩编到4900人。同时,《纽约时报》报道称,位于山东济南的蓝翔技校是中国著名的黑客培训基地。这一年,小李成11岁,上小学5年级。

在一次玩网络游戏的时候,小李成看到有人兜售便宜的游戏金币,好奇的他点开那个网站后,结果账户里的装备和金币就被偷走了,原来这是一个钓鱼网站。遇到这类问题,常人除了怒骂几句,只有暗中自认倒霉。小李成却对这个骗子制作的钓鱼网站发生了兴趣。

他开始研究这个钓鱼网站的结构情况。抱着了解钓鱼网站的心理,开始了解网站建设,碰到不明白的地方就去网上查。

第一次接触网站漏洞

2011年6月,新浪微博突然遭遇蠕虫式的“病毒”攻击,众多加V认证的名人微博自动发布带攻击链接的私信或微博;年末,CSDN、天涯等众多互联网公司的账户密码信息被公开下载,中国公众经历了一次大规模个人信息泄露事件。这一年,小李成上小学6年级,12岁。

经常泡论坛的小李成,在网站上看见论坛里有人贴出的一个网站exp(黑客植入的网站利用程序)。他非常吃惊,别人是怎么知道这个漏洞,怎么发现这个问题的?。为了搞明白这些问题,他开始接触到代码,还买了《白帽子讲WEB》、《细说PHP》等一些关于脚本和编程的书。从这一年开始,李成开始关注网站漏洞、学网站渗透,不断出没在白帽子聚集的社交群和论坛社区里。

正义与邪恶的选择

2012年,雅虎服务器被黑, 45.3万份用户信息遭泄露;国内10余家主流快递企业的快递单号信息,被大面积泄露。这一年,小李成13岁,刚上初一。

在一个“白帽子”群里,小李成看到有人秀网站“漏洞”,然后有人要买这个漏洞。小李成感觉很惊讶——原来,网站漏洞居然可以交易买卖。原来,那些人都是做“黑产”(拿着网站漏洞做非法交易)的,他当时有点心动。后来发现对方给的钱挺少,李成兴趣索然,后来,再次碰到有人售买漏洞就没兴趣了。幸好,小李成没有踏入黑产这个违法行业。

一年提交6个高危漏洞

2013年,美国“棱镜门”监听计划遭曝光。同年,360发布“库带计划”计划,以现金方式征集建站系统漏洞。这一年秋天,14岁的李成升入了初二。

这一年的9月份,小李成向360库带计划提交了第一个网站漏洞,几天后,他收到了库带计划官方支付的现金奖励。能帮站长修复漏洞,还能拿到奖励,小李成激动不已。从此一发不可收拾,他陆续又提交了6个高危漏洞,包含ECShop、Modoer、phpyun等知名建站系统的漏洞。

学习比做“白帽子”更重要

15岁,花季的年龄,正处在青春叛逆期,正是被家长逼着上各种业余班、天天跟小伙伴疯玩的年龄。小李成却已经挖漏洞2年,算是一个有经验的“白帽子”了。

虽然初中的课余时间比较宽裕,天天泡在技术挖掘上,对学习还是会有影响呢?小李成分的很清楚,他认为做白帽子全凭兴趣爱好,上学肯定重要,没有知识以后就没有发展。他爸妈都很支持,只是要求功课不能拉下。

说提交漏洞且被认可是快乐的,挖漏洞的过程却是枯燥的,甚至有可能被不理解的站长误解。小李成有一次,好心给某个站长提交漏洞,告诉他这个漏洞多么多么危险,对方反过来说他破坏。说起这段经历,小李成有点忿忿不平。

做好事不被理解,最多拂袖而去;而面对网站漏洞是上报还是利用,却是“白帽子”们抉择的考验。向左还是向右?是告知站长还是恶意利用?这对于成年人来说也是一个艰难的选择,何况是更易冲动做事的年轻人。

小李成表现出了少年人难有的理智和成熟。他知道破坏网站是做坏事,而且是犯法的。他最佩服360库带计划里的“合肥滨湖虎子”,挖过很多大型cms系统的漏洞,而且从来没有恶意利用过。

喜欢看周星驰的电影的小李成,虽然在星爷最火后出生,却一直是星爷的忠实拥泵者,这也是小李成追求的人生目标。对于未来,他志向满满的要做一个安全公司,为站长们提供安全服务。
在线客服