中國黑客傳說:我是超級黑
“你認識黑哥嗎?”
“誰啊?沒聽說過。”
“哦,你可以回去了。”
—- 阿裡巴巴信息安全部面試題
這道題當然是杜撰的。但我還在阿裡時,曾經有段時間,确實想過用類似的題目來考核面試者,看他是否對行業内保持着最基本的關注。正如我們在校招時,曾經出的最成功的一道筆試題 —- “0day是什麼?”。這道題威力巨大,内行外行一題見分曉,勿須再問其他。
黑哥,就有着這樣的威力。
黑哥真正的id是,熟悉他的人喜歡叫他黑哥,也有無聊者直譯為“超級黑”、“素破黑”。
在黑客的圈子裡,有無數叫小黑或者黑哥的,但在資深黑客的眼中,隻有一個黑哥,就是。
黑哥真名周景平,目前是國内知名安全公司 — 知道創宇 — 的安全專家,這是去年(2012年)的事情了。在此之前,黑哥是湖南益陽一個小醫院裡的泌尿外科醫生,每天的工作就是幫人切小JJ(割包皮)。
如果說切小JJ是黑哥的主業,而研究安全是黑哥的業餘愛好的話,那麼他對醫療行業的貢獻,與他在安全行業裡的成就比起來,就如同螢火與皓月一般。
如果說,最早是一名叫“分析家”的黑客,開創了中國安全行業的Web安全領域,那麼,黑哥就是中興這個領域的人。黑哥不僅自身對Web安全領域的研究做出了傑出的貢獻,同時他還利用自身的影響力,帶動了一批年輕人一起做出了一些意義不凡的成績。而後者可能比黑哥本身的技術成果更有意義。
我一直認為中國從來不缺乏天才,中國缺少的是讓天才們發揮出最大潛能的土壤。在安全行業的某些領域裡,中國的水平是世界領先的,因為有像黑哥這樣的人。可惜他們的成果往往不為世界所知,最大的一個原因就是英語的交流能力,限制了他們成果的傳播。幸運的是,中國的天才們在閱讀英語上沒有太多障礙,這也是托了應試教育的福。
在SQL注入剛出來的時候,黑哥就已經對此技術做了深入的研究。他可以說是當時最了解這種攻擊技術的人,曾被其他的小黑客稱為“數據庫專家”。
在安全技術的研究上,黑哥也極具創新性,他也是第一個提出了CSRF Worm概念的人,後來這項技術由安全組織80sec實現。而國外至今沒看到過類似技術。
最令我印象深刻的,是在2008年,黑哥成立的80vul組織,發起了一個名為“PHP Codz ”的活動,該活動是效仿德國的著名安全專家 Esser發起的“The Month of PHP bugs”活動,為PHP内核找漏洞。最終該活動共計找出了10個嚴重的PHP漏洞。
這個活動最大的意義在于,80vul最終把這些問題,和發現問題的技巧,總結成了一篇paper — 《高級PHP應用程序漏洞審核技術》,在上的代号是。
這篇paper在國内PHP應用安全領域上具有重要的地位。如果要把曆史上所有PHP安全相關的paper排個序的話,這篇paper無疑是那顆最璀璨的明珠,沒有之一 —- 秒殺所有學院派的論文。我在寫《白帽子講Web安全》一書時,從此paper中也借鑒良多。
黑哥對技術領域的貢獻還遠不止這些。對于目前最熱門的XSS盲打技術,最早可追溯到2007年黑哥寫過的一篇文章《dz升級檢測功能的黑盒測試》。在5年前,黑哥就極具前瞻性的産生了這個想法。
在2011年,黑哥受邀來淘寶給安全團隊做一次培訓。随着他來的還有他精心整理的一個PPT — 《Web2.0下的滲透測試》,這個PPT後來成為了集Web2.0安全之大成者,是研究Web2.0安全最為詳實和權威的一份資料。
但黑哥也有不愉快的時候。一直專注于Web安全研究的他,在Web安全并不受重視的那段歲月,在黑客圈子裡,也被歸為非主流的一類人。
在2006年的時候,黑哥将他的研究成果《2次漏洞的利用》投稿給了xcon,後者是中國最權威的黑客大會,但被主辦方無情的拒絕了。這可能與主辦方評委們的技術背景有關,他們大多是研究OS安全與網絡安全的,而缺少一個真正的web安全專家。因此他們把最好的web安全專家拒之門外,也不算什麼奇怪的事情。
xcon主辦方在2008年第二次拒絕了黑哥的投稿,這次投稿的内容是《高級PHP應用程序漏洞審核技術》,這顆PHP應用安全研究領域中最璀璨的明珠。由于這次的拒絕,這篇paper在黑哥的電腦裡被雪藏了兩年,直到2010年才正式在幻影的中公開 —- 也許這就讓中國的PHP應用安全領域的發展遲滞了兩年。
黑哥一直對一句話耿耿于懷,這句話記載于《網絡滲透測試技術》 —- 這本書是《白帽子講Web安全》問世以前中國最權威的安全著作 :) —- 它是這麼說的:
“許多搞系統底層安全的高手對CGI安全總是不屑一顧,認為那些隻是做的事情。按caoz的說法這是技術與技巧的區别,技術是需要很長時間積累的,要看懂底層研究成果需要很多其他知識和時間,而技巧更多屬于一點就通的技術,比如CGI的滲透技術。筆者覺得技巧其實是技術的子集,作為一個滲透測試者需要了解各方面的技術,但切不可沉迷于奇技淫巧。”
也許是“奇技淫巧”四個字刺痛了黑哥的心,這是對黑哥研究領域的全盤否定。從這段話,也不難看出xcon組委會為什麼會兩次拒絕黑哥了,他們是一夥的。
“技巧也要點一下你才會通啊,不點你可能永遠也通不了”。黑哥如是說。
黑哥是性情中人,對于他看了不爽的事情,就會直言以對。
他曾經給我推薦過一個小夥子,但由于種種原因,最終未能錄用。他第二天就打電話來把我劈頭蓋臉的罵了一頓,我自然是成了那個有眼無珠的小人。黑哥提攜過很多這樣的新人,這是他對這個行業做出的比本身研究成果更重要的貢獻。
不光是對我敢于直言,面對騰訊這樣的巨頭,黑哥同樣無所畏懼。
在2013年2月 ,騰訊的安全團隊公布了2012年提交漏洞給騰訊的組織與個人。黑哥以一人之力,在沒有用任何掃描器的情況下,完敗所有提交漏洞的安全公司,獲得了“漏洞之王”的稱号,并以2144分的絕對實力,遙遙領先于第二名的446分。
但之前有過一個小插曲,騰訊把黑哥的分算錯了,以黑哥的脾氣,當時就在博客上劈頭蓋臉的把騰訊罵了一頓。不久,騰訊負責此事的lake2就老老實實的跑來道歉,并且在黑哥的督促下改進了漏洞提交平台的規則。
但黑哥着實沒有什麼商業頭腦,他腦子裡永遠都隻有技術、技術、技術。簡單說,他是一個沒有什麼商業判斷力的人,可能他自己對此并不在乎,就像他并不在乎自己的薪水一樣。
我和黑哥最早相識是在2002年,之後不久我就邀請他加入幻影,成為一位核心成員。
後來我加入阿裡後,曾經三番五次的想請黑哥出山,但他就是不願意離開那個偏僻城市的小醫院,甘願領着每個月兩三千的薪水,原因隻是因為他的父親認為這個飯碗比較穩定。
鑒于他在安全行業的地位,曾經有過很多謠傳,有人說黑哥開着寶馬,可實際上他有時候連上網都是在醫院蹭。
在2011年底的時候,黑哥在微博上發了條求職信息,隻有三句話:
“
準備辭職轉行,
尋找一個看的上我的boss或者創業夥伴,
隻是目前有個要求就是可以在家裡工作,待遇要求不高。
”
這三句玩笑般的話,最終讓他找到了現在的工作。事後我問他為什麼終于想通還是出山了,他回答說,中國的醫療環境太差了,做醫生看不到出路在哪裡。
也許,安全才是他應該在的地方。沒有他,這個行業,會少很多精彩。
在黑客的世界裡,總有一些人是會為理想而活,黑哥就是這樣的人。
—— 後記 ——
這篇文章是我的一個嘗試,我希望展示給大家看一些真正的中國黑客故事。
我會盡可能的把我身邊這些朋友的資料收集起來,但本身這個過程也不會那麼容易。
黑哥一直很害羞的不肯提供一張高清的照片,所以,我隻能從其他渠道,搞到了這張偷拍的照片了。
雖然現在就寫這些人的故事可能為時過早,因為他們仍然在不斷的為這個行業做着貢獻,眼下可能還不是他們事業的巅峰。
但我想,如果我不寫,也許沒人會寫。如果我現在不寫,也許以後也不會寫了。
======
本文内容來自微信公衆賬号:道哥的黑闆報。微信ID:
曆史文章存放在:
關注互聯網、黑客、創業、技術、曆史、文化。歡迎提問,歡迎爆料。
下一篇
ai怎麼看尺寸大小
最新文章
-
“豫西中醫界之泰鬥喬保均”治療疑難病60年經驗賞析
12小時前 -
回憶、健忘和灑脫
13小時前 -
弘一法師:“真的不忍心告訴你,這個世界隻是一個夢。你一輩子執
13小時前 -
心理學,準的讓你驚叫
13小時前 -
人生,成大器者有四識,知識、見識、膽識、遠識
13小時前 -
俞和:被遺忘的書法家,以古為師,創新在手!
14小時前 -
2024屆新高考II卷語文真題答案及解析
14小時前 -
生前隻是小人物,死後震驚史學界
14小時前
熱門文章
-
每日一誦傷寒論第241條
1周前 -
老張老李侃門球之140篇
2天前 -
診餘雜記(師傳經驗)
4天前 -
為什麼五點鐘要起床答案讓人吃驚!(現在知道還不晚)
1周前 -
這個穴位可以治療多種胃痛腹痛,還可以減肥
6天前 -
治療坐骨神經痛藥酒5方
1周前 -
美麗中國-2870:中國最大的内陸河,塔裡木河
2天前 -
二十四山開門放水作竈真訣開門放水作竈直訣——子山
2天前
有話要說...