当前位置:首页 > 黑客业务 > 正文内容

平台漏洞获利法律责任(利用程序漏洞获利)

hacker2个月前 (08-24)黑客业务22

在无数个向厂商提交漏洞的日子里,以下的场景你是否似曾相识?

被厂商“白嫖”:“这根本不是一个漏洞!”但当你再次复查时,发现漏洞已经被修复。

被厂商的威胁:“这就不是一个洞,但你敢公开的话就试试看!”

平台漏洞获利法律责任(利用程序漏洞获利)

被厂商误会:“你知道这样是违规披露漏洞吗?我会报警的!”然后你真的就被邀“喝茶”了。

被厂商“占便宜”:“不好意思,今日起,这类漏洞的奖金减半!”

近几年,白帽子私曝漏洞的事件频发,在业界引起了不小的波澜,在告知白帽子私曝漏洞的行为会有触犯法律的风险,呼吁白帽子加强法律意识之际,好像没有人去深究白帽子选择私曝漏洞的原因,也没有人问过他们,“为什么你要违规披露漏洞?”。

为了一探究竟,笔者采访了四位来自不同团队、不同背景的白帽子,了解这个群体选择私曝漏洞背后可能的原因。

答案似乎很一致:炫技、法律意识不强、由于误会和厂商起了冲突所以一气之下公布漏洞……这三点是造成白帽子私曝漏洞的常见原因,其中第三点很可能是最主要的原因。

“不承认漏洞就算了,他们还威胁我!你敢信?”

被误会的月神:2017年,我在提交了某个互联网新闻平台的漏洞后,立马接到了厂商的电话,“你到底是谁,你是不是要攻击我们,如果你敢乱来,我们就要报警了”,和对方解释了半天,我才发现对方根本不是该厂商SRC的对接人,只是该平台的业务人员,并且其对白帽子这一群体的性质并不了解。

被“白嫖”的Balis0ng:遇到过一些厂商,对我提交的漏洞报告置之不理,过了几天我再去检测,发现漏洞已经被修复了……我还遇到过向厂商连续提交了两个漏洞,但厂商SRC对接人表示经过开发人员鉴定,认为这两个漏洞是同一个漏洞的情况,我也是很无语。

被威胁的小七:2018年,在提交了某大厂的漏洞后,我接到了厂商的来电,他们不但不承认这是一个漏洞,还威胁我,“如果将漏洞公开,你以后不好找工作吧?”,不承认漏洞就算了,他们还威胁我!你敢信?

展开全文

被“教育”的远海:在一周内提交了某教育平台的6个系统漏洞后,我被使用该教育平台的厂商运维人员“教育”了一顿。应该是一下子提交了太多的漏洞,耽误运维人员下班了,所以当时厂商的运维人员还特地通过ID找到我,把我说了一顿。

被误会可以选择解释、被“教育”可以选择体谅、可是当被“白嫖”和威胁时,白帽子也只能选择自认倒霉吗?,“是的,没错,遇到了也就只能自己吃了这个亏,也没有任何办法,但是好在大多数正规的厂商,不会这样对我们”,Balis0ng说道。

平台漏洞获利法律责任(利用程序漏洞获利)

接受采访的这四位白帽子,在向厂商提交漏洞时,均吃过不少“哑巴”亏,即使在厂商不愿意承认他们提交的漏洞时,他们也从来没有想过要私曝漏洞,究其原因,是他们对正义那颗初心的坚守,也是因为他们深知,这种行为不但会将本来有理的他们推向无理的边缘,他们还要承担被追究法律责任的风险。因此,要从根本上避免白帽子私曝漏洞事件的发生,除了法律法规的完善和普及,还需要各大厂商一同努力。

“随着法规的完善和行业的成熟,我相信私曝漏洞的行为会越来越少”

《中华人民共和国网络安全法》规定,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。随着《网络安全漏洞管理规定(征求意见稿)》的出台,有关网络安全从业人员的相关行为规定更加明确和细化:第三方组织或者个人不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息,不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具。一般情况下,发现漏洞后,第三方组织或者个人可以将相关漏洞报送给CNNVD或CNVD,CNNVD或CNVD将会在5个工作日内予以确认回复,并通知厂商在90/10天内修复,厂商采取漏洞修补或防范措施后再予以公开。

《网络安全漏洞管理规定(征求意见稿)》的发布,是为了规范网络安全漏洞报告和信息发布行为,同时督促相关厂商、第三方及运营方及时应对漏洞问题,这是在《中华人民共和国网络安全法》的基础上,法制体系进一步完善的体现。

“随着该规定的出台,能有效减少白帽子因为炫技或者法律意识不强而私曝漏洞的行为。”

接受采访的四位白帽子均认为,《网络安全漏洞管理规定(征求意见稿)》能起到规范行业行为和保障行业健康发展的作用。

“从大学的硬性教育作为突破口,是一个不错的选择。”

据远海透露,有关网络安全法知识的课程,在他的学校目前是以选修网课的形式开展的,而那些没有选修该课程的学生,可能对哪些行为会触犯法律并不清晰,随着我国网络安全市场越发活跃以及相关法律法规陆续出台,他认为从大学的硬性教育作为突破口,是一个不错的选择。

“建立漏洞仲裁机制,有助于减少白帽子和厂商之间的‘扯皮’事件。”

随着腾讯、百度、阿里、华为、深信服、滴滴等各大厂商安全应急响应中心的机制日渐完善,越来越多的白帽子更倾向于向厂商直接提交漏洞,一是因为厂商一般会优先处理在自己平台上提交的漏洞,二是因为直接向厂商提交漏洞,白帽子能获得更多的回报。Balis0ng也谈到:“现在各大厂商也越来越重视白帽子的贡献,比如2020年,腾讯首次推出了百万奖金池,单个漏洞额外奖励最高可达20万元;深信服前不久升级了奖励机制,单个漏洞税后最高奖励金额有50万元;滴滴于2021年增加了年度奖励规范中获奖金的名额,年度排名第一的白帽子可获得8万元奖励。”

“很多大厂还是很有诚意的,其实我们也感受的到,所以我们现在也比较倾向于向厂商直接提交漏洞”,Balis0ng说道。但是直接向厂商提交漏洞,白帽子有时候也会面临一些问题,比如当厂商驳回漏洞时,白帽子就只能在“守法等于吃亏”和“曝洞等于犯法”之间选择吗?

Balis0ng认为,如果可以在业内建立漏洞仲裁机制,当白帽子与厂商因为漏洞鉴定出现争执时,第三方机构可以介入仲裁,那将能有效减少白帽子因为厂商驳回漏洞而违法披露的行为。

在网络世界,如果说恶意黑客是矛,利用系统或软件的漏洞,非法入侵并获取利益,那白帽子就是盾,他们选择用技术来保护网络安全,他们需要比恶意黑客跑的更快,他们发现的漏洞越多,网络世界也就更安全,但相比恶意黑客的“张扬”,他们的事迹却鲜有人知,他们更像是隐世高手,低调地大战四方。虽然有时候他们会被误解,有时候他们的付出没有得到应有的回报,但是他们还是坚守了自己的初衷,做正义的事情。

接受采访的四位白帽子均表示,随着行业的发展和规范,目前白帽子群体遇到的一些困境都会得到有效的解决,同时他们也呼吁白帽子从保护自己的角度出发,依法披露漏洞,不要因为一时气愤让自己面临触犯法律的风险并带上“无理”的枷锁。

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:http://therlest.com/148937.html

分享给朋友:

“平台漏洞获利法律责任(利用程序漏洞获利)” 的相关文章

什么时候立秋

很快就要到大暑了,之后的节气就是立秋,可能很多人会觉得立秋应该就会进入秋天,天气清爽舒服了,但事实不是这样的,秋天来了还有一个很让人害怕的秋老虎,那大家知道什么时候立秋以及几号立秋吗,接下来大家就随百思特小编一起了解看看~   2020立秋是几月几日 2020年...

字节承认商业化团队撤城裁员了

据晋江新闻网2021年10月19日21:00:43的最新发布,微博网友@ 爆料。   平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议!   据悉,黑客追款后来被报道了几次。猜测第六百八十八章逃港者第六百八十九章调侃第六百。相对这个账号是他的。   1.专业网赌追回...

猪肉怎么选?颜色有区别吗?今天做饭的时候发现上次买的猪肉颜色跟这

猪肉怎么选?颜色有区别吗?今天做饭的时候发现上次买的猪肉颜色跟这 买猪肉时,根据肉的颜色、外观、气味等可以判断出肉的质量是好还是坏。优质的猪肉,脂肪白而硬,且带有香味。肉的外面往往有一层稍带干燥的膜,肉质紧密,富有弹性,手指压后凹陷处立即复原。 次鲜肉肉色较鲜肉暗,缺乏光泽,脂肪呈灰白色;表面带...

今天发生的重大新闻5条,国内新闻最新消息10条

近期发生的额十件大新闻,伊朗重申继续实施核计划。本·拉登被击毙,近期国内外新闻要近期。 被关闭·国家最高科学技术奖揭晓"青藏铁路工程"等获奖·广西陆川一在建楼面坍塌14名工人坠地受伤,文汇报,执政党民族解放党总统,到了主要内容介绍完。 这是初中作业吧!月1日—德国总理默克尔倡议成立联合国经济理事会。...

存储过程oracle(oracle财务系统)

推荐教程:甲骨文教程 本文主要介绍甲骨文中的数据转换。 1.日期转换成字符串(以2016年10月20日为例) 选择to_char(sysdate,& # 39;yyyy-mm-DD hh24:mi:ss & # 39;)strDateTime从dual-获取年-月-日:分:秒-...

书黑客,黑客软件破解吃鸡,网站黑客攻击工具

关于较新版别的Windbg,官网已不再支撑独自下载,只能经过Windows SDK里边勾选来装置,不过装置之后Redist目录会有x64/x86/arm的装置包,也可独立装置。 此次评选活动的意图在于,在安全社区中宣扬这些技能,让职业进步对安全的注重,一起也能让这些技能能遭到认可和铭记。 因而,根据...

评论列表

澄萌迷麇
2个月前 (08-24)

害网络安全活动的方法、程序和工具。一般情况下,发现漏洞后,第三方组织或者个人可以将相关漏洞报送给CNNVD或CNVD,CNNVD或CNVD将会在5个工作日内予以确认回复,并通知厂商在90/10天内修复,厂商采取漏洞修补或防范措施后再予以公开。《网络安全漏洞管理规定(征求意见稿)》的发布,是为

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。