您是否想过黑客有许多不同的类型?是什么因素促使他们学习黑客技能?当我想到黑客时,我都会想到下面这张图片,那就是黑客的形象。那你呢?
文末有彩蛋
网络可以说是有史以来最重要的战场。这里没有国界,也没有有组织的军队。在线网络战场是善恶之间最纯粹的冲突发生的地方。
文末有彩蛋
每天,都会有网络犯罪分子会对公司,政府和个人发起数千起攻击。在您看完本文时,全球就会有成千上万的恶意程序将尝试渗透到系统中。
好消息是,我们有白帽子黑客来平衡这个天平。
什么是白帽黑客?
白帽黑客,也被称为“道德黑客”,是测试系统安全性的网络安全专家。
尽管白帽黑客使用与黑帽黑客(网络罪犯)类似的方法来渗透系统,但有一个关键的区别。
道德黑客有权进入系统并暴露其漏洞。另一方面,黑帽子就不会。而且,黑帽黑客往往是出于贪婪的恶意意图。这就是为什么他们的行为是非法的,应受到法律制裁的原因。
一般来说,“白帽子”和“黑帽子”做的都是同样的事情——他们发现系统中的缺陷。后者利用这些缺陷,通常是为了经济利益,而道德黑客指出这些缺陷,以便系统所有者可以修复它们。
通常,公司会雇用白帽黑客来测试他们的系统,并在黑帽黑客可以利用它们之前发现安全方面的问题。
由于黑客的定义是获取系统中数据的访问权限,因此网络罪犯和网络防御者都是黑客。而且这二者都能得到报酬。
虽然黑帽黑客的报酬很高,但白帽子的薪水也很可观。此外,他们还有多种其他收入来源。
许多科技公司提供漏洞赏金计划,以发现其系统中的缺陷。白帽黑客正在研究该系统,以寻找其安全性的最终漏洞,如果他们成功了,他们将获得丰厚的回报。
如果你仔细想想,白帽黑客不仅会通过提高其安全性来帮助这些公司。他们还通过确保他们使用的服务安全可靠来帮助消费者。
我们都更喜欢使用更安全的服务。这就是为什么白帽子在当今的数字世界中如此重要的原因。
为什么黑客被称为帽子?
关于白帽子和黑帽子的类比可以追溯到20世纪20年代到40年代的美国西部电影。那时候,好人通常戴一顶白帽子,而坏人则戴一顶黑帽子。
纵观历史,白色一直被认为是光明和纯洁的颜色,而黑色则象征着黑暗和邪恶。这就是新娘在婚礼上穿白色礼服的原因。新郎们穿黑色,因为,你知道,他们从那一天起就注定…(开个玩笑)。
无论如何,这种黑色和白色的象征意义就是为什么我们称好人为白帽黑客,而称网络罪犯为黑帽黑客。
现在你知道什么是白帽黑客了,以及为什么将他们称为帽子。不过,还有其他几种类型的帽子可以让事情变得更有趣。
白帽,黑帽和灰帽黑客有什么区别?
就像生活中一样,不是非黑即白的。还有很多灰色的地方。
这就是为什么我们要看看不同类型的帽子,看看他在做什么。
什么是白帽黑客?
如上所述,白帽子是“好人”。他们经常被公司雇用或参加漏洞赏金计划。
白帽黑客渗透是合法的,而且回报丰厚。随着对网络安全专家的需求不断增长,白帽黑客渗透测试已成为一项越来越有利可图的活动。
实际上,您知道网络安全专家的失业率是多少吗?
百分之零。
没错-0!
地球上没有一个网络安全专家因为他们的技能找不到工作!世界上没有其他行业对专家的需求如此之大。
白帽黑客受到追捧并获得了丰厚的报酬。
什么是黑帽黑客?
就像星球大战中最强大的西斯领主,通常是聪明但非常自私的生物。在贪婪的驱使下,网络罪犯要为各种网络攻击负责。数据泄露、DDoS攻击、勒索软件、加密劫持和身份盗窃只是成为头条新闻的几种攻击类型。
其中大部分背后都有一个平凡的动机,那就是金钱。网络罪犯做他们的工作可赚取可观的利润。
黑帽子是现代世界中的超级恶棍,但媒体和电影在某种程度上使这些罪犯浪漫化。这主要归咎于好莱坞,因为不仅只有一部关于黑帽黑客的电影让他们看起来很酷。Swordfish,Hackers和BlackHat等电影让人们对真正的黑帽黑客产生了误解。
别上当了–黑帽黑客就是罪犯,仅此而已。他们可能看起来像普通人,但归根结底,他们是靠犯罪来谋生的。
幸运的是,他们中的一些人转向了光明的一面。通常,一旦抓住他们,这种情况就会发生。
通常,代理机构更喜欢利用自己的技能,而不是将他们关起来。不幸的是,这种情况只发生在一小部分黑帽黑客身上。
什么是灰帽黑客?
灰帽子介于黑帽子和白帽子之间。他们或多或少把电脑攻击入侵看作是对他们技能的一种考验。
他们可以入侵某些系统,但他们通常没有黑帽的恶意意图。大多数情况下,他们甚至不具备黑帽的技能。与此同时,同时,灰帽黑客并不打算成为白帽黑客。
那么它们到底是做什么的呢?
他们入侵主要是为了证明自己。如果黑客行为能让他们在这个过程中赚到一些钱,那就更好了。一旦灰帽子发现系统存在问题,他们通常会通知系统所有者。当然,他们会提出要收费解决问题。
尽管如此,他们中的大多数人并没有利用漏洞。不过,“灰帽子”的做法是非法的,因为他们没有得到系统所有者的许可。
一些灰帽子甚至将自己的技能用于轻微犯罪,例如窃取少量金钱。
总而言之,他们试图在不冒巨大风险的情况下通过自己的技能获利。
这三种类型的黑客代表了世界上大多数的黑客。不过,全球黑客家族中还有其他几个组织。
什么是蓝帽黑客?
这种类型的黑客会进行报复。他们没有出色的黑客技能,仅针对犯错的公司或个人。蓝帽子通常并不旨在提高其黑客攻击能力。不过,他们足够了解,可以以满足黑客渴望复仇的方式达到目标。
什么是绿帽黑客?
绿帽子是新手。他们渴望学习,迫不及待地想让自己尽快变成一个“真正的”黑客。你经常可以在黑客会议上看到他们,带着成百上千的问题。
这样说吧,如果计算机黑客是一个角色扮演游戏,那么黑帽将是90级黑客,而绿帽将只有个位数小级别黑客。
什么是脚本小子?
脚本小子被认为是黑客社区的一部分,但他们不想学习。他们下载已经编写的恶意代码,并使用它们来制造病毒。他们这么做往往是为了给朋友留下深刻印象。
尽管他们缺乏技巧(也许是因为它),但他们并非无害。脚本小子的问题是他们无法评估攻击的后果。这就是为什么他们可能因为自己的行为造成大麻烦。
什么是黑客行动主义?
多亏了“匿名者Anonymous”,黑客行动主义者才广为人知。他们是不同种类的黑客,类似于黑帽黑客。
瞧瞧,黑客行动主义者与所有其他类型的黑客之间的最大区别在于,他们是出于某种原因而进行黑客攻击。主要是传播政治观点或促进社会变革。
您知道–言论等敏感问题。如果你仔细想想,就理想而言,他们并不是坏人。
当黑客用大量的流量消耗性攻击服务器时,就会发生拒绝服务(DoS)攻击。该攻击旨在关闭系统或使其完全无法运行。但是,在网站上执行DoS攻击时促进言论自由还是有争议的。
什么是红帽黑客?
我将这种类型的黑客留到最后了因为红帽是否存在还是个谜。它们是真实的还是虚构的,在网络上是矛盾的。
然而,如果他们真的存在,那么他们也是最好的。
他们就像白帽黑客,也就是说他们的目标是阻止网络犯罪。不过,他们使用的方法与“白帽”不同。如果一个黑帽子攻击一个系统,白帽子希望看到他被法律起诉。另一方面,红帽利用各种技术,红帽掌握着法律,并使用各种技术直接摧毁黑帽。
他们拥有白帽和黑帽黑客的所有技能和工具。一旦发现恶意黑客,他们便会发起全面攻击,包括但不限于上载病毒,DoS攻击或控制黑帽的电脑。
有传言说,他们要么是黑客社区的治安维护者,要么是机构招募的秘密行动的黑帽黑客。
目前尚无有关红帽行为的官方信息,但有可能这些黑客已经攻击了暗网犯罪市场。
总而言之,一个红帽黑客的动机纯粹是摧毁黑帽黑客。
现在,让我们回到本文的明星们。
白帽黑客的动机是什么?
好奇心几乎是每个人想成为黑客的首要驱动因素。一旦人们进入黑客世界,一个全新的网络就展现在他们眼前。
在那一刻,他们要做一个选择——他们应该把自己的技能用于好的方面,还是不好的方面。如果他们发现了一个漏洞,他们应该怎么做?他们是否应该报道此事,以便每个人都能从中受益,还是利用它谋取私利?
一切都取决于个人的道德。大多数黑帽黑客天生就是自私的,不关心他们的行为会给别人带来什么后果。
另一方面,白帽黑客真心希望让世界变得更美好、更安全。这些人的优点在于,每个人,包括你,都能从他们的工作中受益。
道德黑客保护系统而不是利用系统的另一个原因是金钱。
以美国为例,一名道德黑客的平均工资为每年7万1千美元。在某些州,包括奖金在内,每年最高可达13万2千美元。与美国的平均工资(每年4万7千美元)相比,道德黑客似乎更诱人。
还有许多Bug赏金计划,它们提供丰厚的报酬。迄今为止最大的一笔交易是Google支付的112500美元。对于严重问题,HackerOne支付的平均赏金超过2000美元。
所以你看,道德黑客可以是一个有利可图的职业。不仅如此,创造一个更安全的世界无疑是一种乐趣。现在让我们看看他们实际上是如何做到的。
白帽黑客的技术
白帽黑客通过渗透测试(Penetration Testing),也称为Pen Testing谋生。公司雇佣他们渗透网络,寻找安全政策中的任何潜在漏洞。这通常是在黑帽黑客发现漏洞并利用它们之前完成的。
“白帽子”使用与“黑帽子”相同的工具和技术。他们侵入一个系统,在整个网络中寻找任何问题。一旦他们这样做了,他们(或公司的安全部门)就会修复它们以防止未来受到攻击。
雇佣白帽子的唯一缺点就是他们的费用。该服务并不便宜,通常,这限制了道德黑客必须寻找漏洞的时间。另一方面,黑帽在世界各地都无时无刻不在为攻击做准备。一旦他们渗入一个系统,他们可以在那里待上几个月,然后才发动真正的攻击。
通常,公司会通过自动入侵模拟来测试其安全性。尽管这是一个好习惯,但这些模拟往往是过时的,因为黑帽子每天创造新的技术和恶意软件。
因此,就网络安全而言,白帽黑客仍然是最佳解决方案。
1、了解什么是网络安全
2、清楚法律法规
3、网络安全干什么
然而当你掌握了 Web 基础知识时,你才会残酷的发现你还远远没有入门。
首先要找一份详细的大纲。
因篇幅有限,仅展示部分,需要资料点击下方链接即可前往获取~
==阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;但是就目前来看,书籍是比较靠谱的入门资料。
书籍的好处就在于权威和体系健全,刚开始学习的时候你可以只看视频或者听某个人讲课,但等你学完之后,你觉得你掌握了,这时候建议还是得去看一下书籍,看权威技术书籍也是每个程序员必经之路。
现在 Web 安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。如果以上推荐书籍阅读有困难,那就找自己能看得进的 Web 安全的书。
1.Burpsuite 学习 Proxy 抓包改包学习 Intruder 爆破模块学习实用 Bapp 应用商店中的插件
2.Nmap 使用 Nmap 探测目标主机所开放的端口使用 Nmap 探测目标主机的网络服务,判断其服务名称及版本号
3.SQLMap 对 AWVS 中扫描出的 SQL 注入漏洞使用 SQLMap 进行数据获取实践常见漏洞类型的挖掘与利用方法
因篇幅有限,仅展示部分,需要资料点击下方链接即可前往获取~
作为一个高级安全员,要始终把开发作为第一要义
因篇幅有限,仅展示部分,需要资料点击下方链接即可前往获取~
