有人说，双 11 不仅是购物者的狂欢，也是黑产的年度盛宴。

有些天，人们总抽不到奖，领不到券，以为运气不好，不知数十万“撸货大军”正在疯狂汇聚、大肆抢夺优惠券、秒杀特价货物，大量"返利、促销“瞬间消耗殆尽，日入十万，盆满钵满。

今天我们要说的不是黑产，而是与之抗衡的白帽黑客力量。双11，这帮“漏洞猎手”们也开始利用漏洞赚钱。不过方式和黑产截然相反。

（一）

“有人要送我台 iPhone 8，没要” 

白帽子黑客 hackbar 视角。

双十一前的一个周五，下班回家，我和大部分妹子们一样，盯着屏幕，搜寻着优惠活动。旋即，一个商户的抽奖活动页面落入我眼中，隐约感觉自己会中奖，有点小激动。

我的抽法和平常人不太一样。不少人觉得网上抽奖都是骗人的，根本抽不中。其实不仅能抽中，而且还能百发百中。要啥有啥。

我瞪大双眼盯着电脑屏幕，脑中浮现的是方块和线条组成的逻辑框图，那是抽奖页面背后的业务流程逻辑。随着每一个新线索的出现，它们时而拉长，延展，直到最后触及目的地，一台 iPhone 8。

我动用了一些计算机基础知识……

睡醒时已经是早上11点了，吵醒我的是一通电话，对方跟我要地址，说我中奖了，要是把 iPhone 8 寄过来。我没给。

挂了电话，径直登录SRC（安全应急响应中心）的网页，点击漏洞提交……嗯，看样子昨天搞到一两点没白熬。

到这里，你应该知道我在干嘛了。

这就是我周末的挖漏洞日常。和以往略有不同，双11，平台官方和商户都会上线很多活动，在我们眼里，它们是一个个新上线的“业务”，但凡业务就有流程和逻辑，开发人员犯下的每个小错误都是一道口子，这道口子要么被黑产先发现，疯狂获利，然后普通人莫名其妙地怎么也抽不中奖，领不到券；要么先被我们白帽子黑客发现，然后补上，人们继续领券、抽奖，购买快乐，剁手。

（二）

“10月份拿了三十多万吧，三十几万记不清了，我算算哈……”

跟我聊着，hackbar 真的开始折指头算奖金，这个SRC 7万，那个 8万，那个6万……算下来真的有二十多万。双十一之前的几个月对他来说是丰收月。

除了漏洞奖金，SRC 也办些鼓励白帽子的活动， 他也砍点小奖金和礼品。

“ 比如上月蚂蚁SRC 举办了个「城市挑战赛」，按照城市组成几人的小战队，挖漏洞最多和积分最多的队伍能拿到20000元团建费，用于线下搞搞活动，吃吃喝喝什么的，反正随便花。”

10月20号那天，hackbar 发了条朋友圈，“上海的战队加油啊，各位兄弟，我一个人搞不过他们啊 ”

那阵子上海队分数领先，hackbar 作为主战挖掘机，以一己之力为队伍贡献了大多数漏洞，领先于其他五个地区的白帽子。

你为什么这么吊？我问他。他说，就是花的精力多一些呗，加上运气比较好。如果硬要说，那就是细心，为了挖到蚂蚁金服的漏洞，我会针对性的把蚂蚁金服旗下所有品牌信息全面收集，对一些域名下的服务信息、敏感接口格外注意。同时保持对漏洞的敏感性，不要停止思考。

他说有阵子挖了十多天也没挖到严重漏洞，一次偶然机会，看到马云参加某会议的报道，马云说蚂蚁金服未来将对某领域进行重大投入和发展，他想到了一定会有相关应用和业务发布，跟着找过去，果然找到了高危漏洞。

白帽子黑客 hackbar ↑

hackbar  所在的上海白帽战队的队长 mi_xia（以下简称虾米）在国内某知名网络安全公司工作。这次的上海站的获胜，有赖于给力的队友周末加班加点，甚至通宵挖洞。

“自己这阵子忙于工作，虽然是队长，但根本无暇挖漏洞，几个月也就提交了一个。”

一边从事正常工作，一边利用业余时间挖漏洞，这是白帽子的常态。

"也有全职挖漏洞的，比如某SRC排名第二的谁谁谁，除了寥寥几个，其他大部分都在安全公司或甲方上班，这是我看到的。大部分是当兴趣吧？”

我感到很困惑：像 hackbar 那样肯下功夫，一个月挣好几万奖金的，为啥不去做全职啊？正常工资开不了这么高吧？

“可能觉得正常工作比较安稳？”虾米也解释不太清，“怎么说呢？对我来说，如果一直埋头挖漏洞，虽然赚到钱，但如果不去了解前沿技术，思维就会慢慢僵化，我们这行更新速度很快，跟不上的话很快就被超越甚至淘汰。”

不过似乎每个行业都是这么个道理。

95年出生的虾米，如今已经进入网络安全行业5年。技术进阶第一，挣钱第二是他当前的人生奥义。在工作时看到一些客户的业务存在逻辑问题，会去仔细琢磨。会去了解新的安全防御产品和技术，茶余饭后和同事交流交流技术，在白帽子群里听大家吹吹牛逼。这是年轻白帽子们的常态。

（三）

我试图问出一些好玩的挖漏洞情节。比如具体怎么薅羊毛、怎么百分之百中奖。不肯说，一个字也不肯说。

“挖私有SRC漏洞都是签订有保密协议的，我给你说了，哪怕看起来无关紧要的内容，也可能被利用上的。”

黑客们就是擅长利用一些看似无关紧要的信息关联起来寻求突破。虾米自然不愿说，哪怕只是奖金额度也不太愿透露。我只有绕着弯子问：“那漏洞本身可能弥补的损失是超过奖金数额的，对吗？”

“当然，有些漏洞是没法轻易用价值衡量的。”

hackbar 说了一些，但大抵和 SRC 官方公开的漏洞评定标准差不多。涉及具体的渗透测试流程，只是一语带过，哪怕我追问，不说。

受人之事忠人所托，哪些能说，哪些丝毫不能，白帽子有自己的原则。我便不再追问。

但我印象当中的白帽子确实没那么谨慎。这大概和《网络安全法》的颁布，以及近两年圈里发生的一些事有关。

hackbar 说他一般只挖私有SRC的漏洞，完整授权，完全合法。

现在 SRC 数量在爆发式增长，大公司都建立自己的安全应急响应中心了，直接对接来挖洞的白帽子。小公司资源有限，也可以和漏洞响应平台合作来做相关业务。

“白帽子收益？钱还是不少的，优秀的白帽子资源毕竟有限，各家都愿意用高额奖金和福利来吸引白帽子。”

之后还会有活动吗？

有。

你还会参加吗？

会。

你会考虑辞了职去专职挖漏洞吗？

不会。

后记

无论在哪个时代，追求技术精进永远是白帽黑客们的目标。《网络安全法》的颁布，国内网络安全配套设施的完善，让他们有一条清晰的生存和成长之路，通过提交漏洞，得到应有回报。这样的时代或许未必最好，但一定不坏。

Hackbar 告诉我，双11参加完“城市挑战赛”，他想休息几天，准备挑个周末，挑战一下蚂蚁SRC为双12准备的白帽子福利活动。

我调侃他，蚂蚁SRC双12给的福利也不少吧？他说是，但这也就意味着有更多黑产在背后蠢蠢欲动，无论对他或是其他白帽子，又是一次挑战……

雷峰网原创文章，未经授权禁止转载。详情见转载须知。