香蕉久久综合-香蕉久久夜色精品国产尤物-香蕉久久夜色精品国产-香蕉久久久久-久久网站视频-久久网免费

傳送門：

總結(jié)起來就是：

抓獲一起偵辦一起重大非法侵入計算機(jī)信息案。

某政府網(wǎng)站管理員向網(wǎng)安支隊報警，該政府網(wǎng)絡(luò)內(nèi)局長信箱模塊有網(wǎng)民多次發(fā)送非正常留言，后模塊運(yùn)行不正常，疑遭黑客攻擊。

確定該網(wǎng)站被黑客使用(XSS)方式進(jìn)行非法入侵后抓獲了犯罪嫌疑人李培。

那么，李培為何會對銀川市的政府網(wǎng)絡(luò)實(shí)施黑客攻擊呢？

他利用休息時間，在未授權(quán)的情況下，對銀川市的某政府網(wǎng)站進(jìn)行滲透測試，他的目的就是為了找出網(wǎng)站漏洞并生成漏洞報告，然后上傳CNVD(國家信息安全漏洞共享平臺

——“想為家鄉(xiāng)做點(diǎn)貢獻(xiàn)”

乍一看這新聞確實(shí)有些害pia

但是仔細(xì)一想，也有些地方值得探討

1、首先，新聞內(nèi)容對這位大哥在“滲透”過程中，具體是否使用有害語焉不詳。

2、其次，測試行為并未取得授權(quán)。

此時此刻不由得讓人想起了一個段子：

某監(jiān)獄里政府網(wǎng)站安全漏洞解讀，對話如下：

犯人A:你們都是怎么來的？

犯人B:我是XX漏洞平臺挖漏洞不小心進(jìn)來的。

犯人C:我是XX平臺路人甲，輸錯命令了rm-rf / （批量刪除）

犯人D:我是某測評中心的忘了要授權(quán)了……

犯人E:我。。。就是那個在群里成天陪你們吹牛逼斗圖的啊！

犯人F:這下齊了，到底誰黑的我網(wǎng)站我不打死你，我是那個管理員站長。

對于在各大SRC平臺和眾測項目玩兒的風(fēng)生水起的大佬，一定不會忘記那一紙授權(quán)協(xié)議，不知道大家如何看待，有人覺得多余，有人覺得是約束，其實(shí)，授權(quán)協(xié)議是對廠商和白帽子的雙向保護(hù)，既能避免廠商被刪庫跑路，也能避免白帽子們被請去喝茶。

我們規(guī)規(guī)矩矩做事兒，肯定是安全的嘛~

3，CNVD屬于政府部門么？

2

不過在此新聞出來之后，為了避免剛?cè)腴T小白對安全環(huán)境的顧慮，先解決幾個疑惑：

1.在挖洞測試站點(diǎn)過程中，怎樣才不會犯法？

按照《刑法》第二百八十五條的規(guī)定，侵入或者采用其他技術(shù)手段，獲取該中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該實(shí)施非法控制，情節(jié)嚴(yán)重的，構(gòu)成非法侵入罪或者非法獲取數(shù)據(jù)罪。

所以，構(gòu)成這種類型的犯罪要同時具備三個條件：

1、侵入計算機(jī)系統(tǒng)；

2、獲取中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該實(shí)施非法控制；

3、情節(jié)嚴(yán)重的。

只有這三個條件同時具備才構(gòu)成犯罪，要受到刑罰。也就是說，僅僅是侵入計算機(jī)系統(tǒng)，但沒有獲取數(shù)據(jù)，或者侵入了，也獲取了數(shù)據(jù)，但情節(jié)不嚴(yán)重的，也不構(gòu)成犯罪，不受刑法處罰。

情節(jié)是否嚴(yán)重，《、關(guān)于辦理危害安全刑事案件應(yīng)用法律若干問題的解釋》中有明確的規(guī)定，可予以參考。

2、無獨(dú)有偶，其他平臺也有白帽子挖洞被查水表的事件發(fā)生，我們怎么保護(hù)自己的權(quán)利，開開心心賺錢錢？

作為一名安全人員，法律法規(guī)知識必不可少，認(rèn)清楚相關(guān)行為違法與犯罪的界限，盡可能在法律規(guī)定的前提下從事相關(guān)的行為甚至比技術(shù)實(shí)力更加重要，要不斷地提高自己這方面的法律意識，知道哪些行為可以做，哪些行為不可以做。

3、白帽子上傳文件或者是否會引起廠商誤會？該如何避免誤會？

這個行為需要嚴(yán)格注意。

白帽子上傳文件或，如果只是公布個漏洞名稱還稍微好一點(diǎn)，如果將細(xì)節(jié)都進(jìn)行公開，就意味著將廠商網(wǎng)站存在的漏洞全部暴露出來，這個行為的后果很有可能會被黑客利用并侵入廠商的計算機(jī)系統(tǒng)。

如果黑客的破壞行為達(dá)到"后果嚴(yán)重"的標(biāo)準(zhǔn)，那白帽子這種行為肯定不會得到廠商的認(rèn)可，而且，由于這種行為幫助或方便黑客實(shí)施犯罪行為，從這個角度來講，白帽子的行為很有可能對廠商所遭受的損失承擔(dān)一定的賠償責(zé)任。

3

結(jié)合各種被查水表的事件案例，提供建議如下：

1.為了規(guī)避可能觸犯的法律風(fēng)險政府網(wǎng)站安全漏洞解讀，建議大家在挖洞前和相應(yīng)的漏洞平臺及廠商簽好相應(yīng)的涉及到具體測試的合約

2.建議大家盡可能測試有src的廠家的漏洞，src的設(shè)立表明了企業(yè)對安全的重視，白帽子提交的漏洞能得到更及時的反饋，幫助更好地維護(hù)大環(huán)境下的網(wǎng)絡(luò)安全

3.可以多參加大平臺發(fā)起的一些src的活動，安全客SRC導(dǎo)航任君挑選。

4.除了各種法律法規(guī)，做到心中自有底線， Do not be evil(不作惡)

懂得保護(hù)自己*重要

◆ ◆ ◆ ◆ ◆

愿我們都能在挖掘漏洞的道路上，不忘初心。

初心還在，這條路便能越走越遠(yuǎn)