做者: 長短短@PKAV前端
此次我要講的是如何成爲白帽黑客。git
有不少事情可使一我的發狂,尤爲是缺少學習所需的堅定與目標感,因此我會先講磚爲何搬爲何不搬,是沾滿民脂的紅磚更適合搬仍是混凝土小型空心的砌磚。程序員
工欲善其事必先利其器,這是你們常常能看見的一句話。在當今互聯網下,想要更好地撂倒對手,咱們須要更可怕的武器「一口箱子」,箱子裏的武器不見能夠組成任何一件兵器,用來對敵,但更重要的仍是提着箱子的你。web
我知道國內外都有十四五歲的小白帽經過「漏洞獎勵計劃」得到過數萬獎金,但獎金不是最重要的,最重要的是,這種實踐方式可讓咱們更快地找到本身的方式,或者說找到本身。每一個人的性格天賦又都是獨一無二的,所以找到真實的本身就等於找到了用的人最少的「 Hack mind 」。瀏覽器
關於我安全
我是長短短,目前在 PKAV Team 主導分佈式漏洞掃描器的開發,從事了 5 年的 Web 安全研究,接觸網絡安全已經快十年了,爲《 HTML5 規範》作過一些貢獻,對瀏覽器及 Web 前端安全有深刻的研究 ,得到過 Google / Adobe / Apple 的「安全更新致謝」,《 HTML5 Security Cheatsheet 》的編寫人之一, 發佈過目前世界最強大的 XSS 攻擊技術思惟腦圖( https://git.io/vPpcM ) ,固然也懂點滲透。服務器
此次 Live 主要包括下面這些問題:網絡
Live 時間:2016/12/29 21:00運維
Live 入口:知乎 Live – 如何成爲白帽黑客分佈式
個人 Live,你不喜歡,答卷再說:
試 卷
姓名________ 學號________
首先咱們來看這個,試卷的名字和編號填寫,這個部分有「漏洞」嗎?
有
學生的姓名和編號都寫在這兒,沒有作任何保護措施,所以,你只要偷看了某人的試卷上的這部份內容,而後把你的試卷的上的姓名和考生編碼寫成和他同樣的便可假裝出他的身份。
漏洞攻擊成功
1、詩歌補寫
1 牀前沒月光,___________。
2 春眠不覺曉,___________。
這道題有漏洞嗎?
有
這道題的答案原本應該是「疑似地上霜」和「到處聞啼鳥」
But,問題中,並無規定答案裏不能添加標點符號,因此,我徹底能夠把「疑是地上霜,舉頭望明月,低頭思故鄉」以及「到處聞啼鳥,夜來風雨聲,花落知多少」當作答案寫進去。
漏洞再次進攻成功 :P
2、數學運算(在括號內填入數字)
3 500 400 * 3 / 2 1 = ( )
4 ( 1 2 ) / 3 * 400 500 = ( )
這個問題有漏洞嗎?
有
出題者規定了只能填入數字,但卻沒有說是什麼數字,也沒有規定多少位,那麼個人答案能夠是 中文數字「壹佰壹拾圓」、羅馬數字「MCI」或「0000000000001101」。
漏洞第三次進攻成功 :D
3、技術實踐
咱們打開一個網頁提交登陸或者是搜索都會通過服務器作一系列的處理又回到瀏覽器,在這個過程當中咱們提交的數據會被帶入到一系列的填空題中,有的是咱們能猜到的,有的是意想不到的,有的會通過SQL進行查詢進行填空,有的會被帶入到命令行中進行填空,最後又把結果返回給瀏覽器進行填空,也最後就是咱們到的結果了。
瞭解了這幾個漏洞以後咱們能夠看到原理都相似,也很簡單,固然咱們再也不侷限於概念名詞就會發現 web 安全的大部分漏洞都很簡單。更多時候,發現一個複雜的漏洞須要是隻是耐心。
91ri 一直是個不多發廣告的地方(至少直到如今發過的每個廣告都是咱們承認並思考過的),可是今天想發一個不是廣告的廣告——這是一個 live 的預告,可是是個真正有貨的 live ,由於這個 live 來自一個真正有貨的白帽黑客。咱們分享一切對你有用的人或事,此次分享 live 的同時,想把這個還在認真作技術的短短,一塊兒介紹給你。