这是我未来的一个幻想，就请大家共同探讨一下，交流一下经验，也好让我明白以后还有更好的想法~~~希望大家踊跃发言。谢谢.(^o^).

　　攻击网易，然后再攻击9you，因为听说网易要买给日本人，如果真的买了，那么我相信所有中国人都不会去玩网易的啦！还有9you，赚了太多黑心钱了，让他少赚点。呵，相信好多人都是这样想的。

　　先赚钱填饱肚子.

　　低调

　　你们怎么一点幻想都没有。

　　要是我的话之一个攻击 交警 因为他老拉车]

　　在攻击银行 因为钱不是问题 但是 问题是没钱

　　聚焦源代码安全，网罗国内外最新资讯！

　　编译：奇安信代码卫士团队

　　

　　曾经只出现在北美地区的hacking现象如今已成为一种全球趋势。在亚太地区，由黑客驱动的安全项目同比增长30%。去年，美国黑客赚走了19%的HackerOne平台上的所有漏洞奖金，其次为印度（10%）、加拿大（5%）和德国（4%），它们是2018年黑客收入更高的五个国家。

　　印度？是的，是印度没错。实际上 HackerOne 平台发布的《2019年黑客驱动安全报告》指出，2018年，印度道德黑客赚取的奖金为2,336,024美元。

　　然后，你可能会问，这些黑客是谁？

　　本期我们邀请到了 Shivam Vashist。他在印度生活，其 *** 昵称 @Bull 更为人知，他是一名 *** 黑客。Shivam 放弃了考大学找一份稳定工作的传统路径，转而选择当一名 *** 黑客。几年来，他教会自己的弟弟如何 hacking、帮助父亲退休并带着家人周游世界！

　　现在，我们和 Shivam 聊聊吧！

　　你好，Shivam！请先介绍下自己。

　　我叫 Shivam Vashisht（黑客昵称是 bull）。今年23岁，在成为 *** 道德黑客并以此为生之前，从事挖矿工程工作。

　　你什么时候开始 hacking？

　　大概19岁时，我开始学习更多的计算机知识并探索道德黑客的世界。

　　你的家人支持吗？

　　刚开始他们比较担心。不过随着时间的流逝，他们了解到道德黑客是完全合法和切实可行的工作后就非常支持。

　　你为什么选择成为一名 *** 黑客？

　　与我而言，这份工作要比考上大学找份工作更令人兴奋。道德黑客工作能让我获得报酬并挖掘自身潜力，我认为这要比找一份传统工作回报更大。道德黑客是我的完美工作，我想在什么时候什么地点工作都成，非常灵活。通过 hacking，在前进的道路上我能学到更多的知识，而且能收到丰厚的报酬。

　　 *** 黑客的优劣势是什么？

　　我认为优势是它的灵活性，你可以在世界任何地方工作并且按自己的节奏工作。你就是自己的老板，而且还可能赚很多的钱。至于劣势，我认为收入可能不是太稳定，可能精疲力竭，以及没有社交生活。

　　你（平均）每天或每周hacking 的时间有多久？

　　我平均每周大概会 hacking 15个小时的样子。不过具体时间要根据我的工作计划决定。有时候我可能会连续几天盯着，有时候可能几周都不会 hacking。

　　你喜欢哪种 bug 类型？

　　我基本上喜欢找服务器端的 bug，如服务器端请求伪造 (SSRF)、远程代码执行 (RCE)、SQL 注入 (SQLI) 和加密验证失败类的 bug。能造成更大影响的逻辑 bug、跨源资源共享 (CORS)/OAuth 配置不当和链简单客户端 bug 也是我的菜。

　　最让你骄傲的 bug 是什么？

　　我在一款健壮的、用户获得非常细颗粒度控制的应用中找到一个漏洞。开始我在这款应用内查看这些控制，看它在默认设置下能否被滥用，结果我发现很多用户数据遭泄露。这个漏洞还可导致其它用户的账户被控制。

　　我还找到了其它漏洞，其中一些可见：

　　

　　你获得之一次奖金是在什么时候？感觉如何？

　　我在20岁的时候从 InstaCart 之后是 MasterCard 获得之一次奖金。这种感觉太爽了，我不敢相信自己竟然做到了！好几天我都兴奋得睡不着觉！

　　你当白帽黑客的动力是什么？

　　当我能够想出解决挑战的创新 *** 并发现其他人还没找到的漏洞时，hacking 让我飘然如仙。成功找到一个 bug 的那种感觉让我觉得自己活过来了而且很激动！Hacking 跟我是绝配，当然挖洞得到的奖金也是一个很大的动力，但它并非更大的动力。

　　你有自己欣赏的黑客吗？

　　当然有了！优秀的黑客非常多，不过其中一些黑客的创造性和创新性让我茅塞顿开，比如 @intidc ()、@filedescriptor ()、@orange ()、 @jobert ()、 @albinowax ( )和@andre ( ) 等等。

　　你对漏洞奖励计划有什么看法？你认为所有公司都应该设立吗？

　　漏洞奖励计划是做安全的更佳方式之一。单单是触及全球的黑客天才这一点就非常强大，而这也是漏洞奖励计划成功的原因所在。我认为所有公司都应该考虑设立一个漏洞奖励计划。

　　你对印度的 *** 安全局势怎么看？

　　虽然印度变得越来越数字化了，但我认为计算机安全并未得到足够的重视，而且我们的系统中可能存在很多尚未检查的漏洞。我们需要更多的 *** 安全意识。提升安全解决方案教育以及求助道德黑客社区可能是其中一种解决方案。

　　你认为印度对黑客驱动安全（即漏洞奖励计划）概念的接受度怎么样？

　　我认为印度还没有广泛认可这个概念。我认为印度目前只有一些公司设立了漏洞奖励计划。不过我估计未来几年将有更多的公司加入。

　　你对道德黑客有哪些建议呢？

　　大量阅读！跟随其他黑客的步伐，了解他们是如何找到 bug 的，不停尝试直到找到有影响力的 bug，它会给你带来实践技能夯实技能的机会。

　　

　　推荐阅读

　　HackerOne《2019年黑客驱动安全》报告来了：看完你还坚持挖吗？

　　挖漏洞能发家致富吗？HackerOne 诞生6名漏洞赏金百万富翁

　　

　　题图：Pixabay License

　　

　　

　　奇安信代码卫士 (codesafe)

　　国内首个专注于软件开发安全的

　　产品线。

　　 点个“在看” ，加油鸭~

　　中国黑客的绝大部分大牛或者资历深的基本上都已经是 *** 黑客了，平时基本上都有一份体面的工作，很多是涉及 *** 安全方面的，他们的生活和普通人一样（外人别想的太夸张了）

　　中国真正称得上“职业”黑客的，即黑客行为是他们谋生手段或者日常工作一部分：

　　1.军方的信息战部队士兵

　　2.处于法律灰色，黑色地带的，通过不正当黑客手段，获取经济利益，用以生存的人

　　只有以上两类人，才能称的上是“职业”黑客。对于之一类人，我没有接触过，不好妄加评判，第二类人，也分为好几种类型

　　1，技术型职业黑客：负责研究各种程序0day，bug的，这部分是黑客产业链的顶端，一个热门程序的0day，可以卖上万甚至几十几百倍。这部分人基本是和大家想象的差不多，绝大部分时间蹲在电脑前读代码的，一天的生活非常枯燥乏味，但是由于获得漏洞的巨大心理成就感和物质奖励，导致很多人依旧乐此不疲。这部分人情商往往不够（有些反社会，或者社交障碍的)。如果技术NB，又会做人处事，没有人会冒坐牢的风险来干这个。印象关键词：nerd

　　2，次技术型黑客：技术不如之一类，但是只要拿到0day，能够编写出利用程序的，进行攻击，平时比较轻松，负责协助之一类黑客的破解，找漏洞工作，比较自由，往往在技术成熟后，洗白自己，或者自立门户当leader。印象关键词：geek

　　3，苦力型黑客，其实这部分的职业黑客很少，几乎没有。很多是以学生或社会人士为主的 *** 黑客，负责漏洞出来后，拿到工具后，上规模的进行攻击，破解行为.

　　印象关键词： hired thugs

　　4领导型黑客，技术全面，但是单项不一定精通，拥有极强的统筹能力，必须是社工高手（记住，在黑客世界里，再NB的入侵手段也抵不上社工来的有效），这种黑客所冒的法律风险更大（出了事判最重），日常生活也比较“丰富”了，又要监督自己团队工作，又要和别人打交道，情商和智商缺一不可，具体的生活一言难概之。印象关键词： leader

　　一般来说，职业黑客团体具有明确的分工，尤其在当今中国黑客已形成具体产业链的情况下，很少有职业黑客具备单干能力。但是有一点可以肯定的是：所有职业黑客，尤其是中国的职业黑客，绝对没大家在美剧或者好莱坞电影里面看到的那么潇洒，可以说，非常非常苦，很多人，尤其是年轻人，都是在透支自己的生命换取精神上的满足感和物质上的报酬的，每天的生活都是极其乏味。一旦做成了一笔大单后，或者热情有所退却后，都会选择洗白，恢复到正常人的生活当中。

　　PS：以上所描述的黑客，均属狭义上的黑客，广义黑客的话，是个网安都能叫黑客了，那就说不清了