白帽子是合法的嗎

1樓：

黑了之後，把洞給補上了，並且在其他人幹這個的時候會彈出我的警告。有乙個織夢的，我直接幫忙改了後台位址，然後在伺服器留了紙條給管理員：大概的意思是，我是這個學校的，這個後台位址不安全，暫時幫你改了，你最好改乙個別人猜不到的，結果他們一直用我給的…… 還有很多都是還在學校的時候做的有趣的事情。

哈哈哈哈

2樓：趙武

這個雲舒同學的回答「不合法，但是合理」有點嚇人了。我把我個人的看法說一下，不一定對，大家可以參考。

明確意義上來說，非授權掃瞄就存在法律問題，那烏雲和補天運營了這麼久，豈不是打國家法律的臉嗎？事實上我們不妨從另乙個角度來看待問題：法律要保護受害者，那麼觸犯法律的前提是存在受害者，並且是受害者認為對方是故意傷害。

然而事實上國內開放src的廠商在一定範圍內進行了雖然不是白紙黑字但是形成了實質意義的共識：法律上你又問題，但是我口頭上保證：在實質不損害我利益，並且將漏洞在提交給我們且保證在我們修復前不公開的情況下，我們是不會去追究責任的。

其實，最終是否追究法律責任的權利在於廠商，有幾方面的因素導致了事實上很少有白帽子（我說的是真正的白帽子而不是打著白帽子名義的破壞者）被追究法律責任哪怕是約談都沒有，這幾方面原因是：

1，廠商根本就沒能力或者沒有興趣去找安全人員的麻煩：一來是他們的技術落後，哪怕是實際上被黑客攻擊了他們都不知情，更不用提進一步維權了；一來是他們完全不重視，在業務明確遭受顯式的破壞之前，只要不影響業務的正常執行，他們也沒有動力追責；

2，有少數一部分廠商（以網際網路公司為代表）從實際利益出發，會部分支援安全人員的漏洞發現過程，這又有兩方面：一是做企業安全有乙個知名的論調是「黑白兩道都要搞好關係」，萬一你得罪了乙個腦袋秀逗的黑客，一怒之下搞破壞了，即使你抓了他，吃虧的還是企業，所以抱著「弄不死你就跟你合作」以及「多一事不如少一事」的態度大家保持良好互動吧；一來是實際上如果能很好的跟這批「單純」的技術人員溝通，他們確實能產生利大於弊的價值，至於其中有沒有黑客，嘿，你想多了，黑客一直都在，先把僥倖心理去掉吧；

3，即使廠商發現了，較真了，報案了，公安還得根據實際的損失金額決定是否立案以及根據優先順序排序，查案的成本可能大於實際的損失；

4，一些不能放在臺面上講的理由就不講了，總之各方面都有需要……

所以，目前其實形成了乙個「官不究，民不究」的暫定事實。但是我絕不是說大家可以去放心的去滲透測試，這裡面還是有很多坑的，一定要注意。實際上已經有多起由於主觀故意甚至是不經意間涉及破壞，勒索，恐嚇等造成法律制裁的案例。

……先寫到這，開會，有時間回來補充，還有好多注意事項要告訴大家，如何在學習技術成長的同時，避免不必要的麻煩。我們要保護好乙個良性的溝通機制，做事切忌衝動。再說

3樓：Charles Stone

「合法的白帽子」？你拿薪水了麼？

不要被烏雲和補天誤導，你掌握不好其中的度，分分鐘倒霉。

最重要的是信任問題。

你跟管這個系統的老師關係很好麼？

關係很好，膽子大，可以挑點不重要的說說，看看他的反應，再考慮要不要繼續說。

關係不好，參考輪子的答案。

4樓：Smarich

小意思小意思，我們學校的校園網還有乙個bug可以直接把明文的密碼發給伺服器，真是跪了……反饋給網路中心，至今未debug……估計是不會吧………

5樓：李獻計

其實白帽子都是處於法律邊緣，因為這個系統是學校的，但是學校並沒有授權給你進去後台，你這樣已經算是非法進入該系統。

其實，大多廠商也都持較理解態度，只要你沒有進行行為十分惡劣的操作，他們都不會追究你的責任。態度好的廠商還會對一些白帽子進行獎勵。

可以告訴他們危害影響有多大，但不要太深入。

至於以哪種方式告知廠商，最好斟酌行事，不要引起誤會。

可以考慮把漏洞發匿名至烏雲或補天

白帽子是合法的嗎

IT圈說的白帽子，紅帽子，黑帽子都是指什麼？

白帽子報告漏洞到底是為什麼？

白帽子是不是都是從黑帽子轉過去的？

其他用戶還看了：