伦理黑客
伦理黑客 是什么?
伦理黑客获得授权对系统使用攻击技术、帮助所有者在被对手利用前发现并修复弱点的安全专业人员。
伦理黑客是在明确的法律与合同范围内运用攻击者思维与攻击工具的专业人员。他们以渗透测试人员、红队成员、应用安全工程师或漏洞赏金猎人的身份开展工作,签署测试合同、遵守交战规则、尊重数据保护法律,并通过协同披露上报发现。伦理黑客常持有 OSCP、OSEP、CRTO、CISSP、GPEN、CEH 等证书,并遵循 (ISC)2、EC-Council、OffSec 等机构的职业道德规范。该词与白帽黑客高度重叠,但更强调工作的正式化、雇佣关系与责任。
● 示例
- 01
伦理黑客执行获得授权的红队任务,以评估检测与响应能力。
- 02
漏洞赏金研究者在厂商的 safe harbor 计划下提交身份认证绕过漏洞。
● 常见问题
伦理黑客 是什么?
获得授权对系统使用攻击技术、帮助所有者在被对手利用前发现并修复弱点的安全专业人员。 它属于网络安全的 防御与运营 分类。
伦理黑客 是什么意思?
获得授权对系统使用攻击技术、帮助所有者在被对手利用前发现并修复弱点的安全专业人员。
伦理黑客 是如何工作的?
伦理黑客是在明确的法律与合同范围内运用攻击者思维与攻击工具的专业人员。他们以渗透测试人员、红队成员、应用安全工程师或漏洞赏金猎人的身份开展工作,签署测试合同、遵守交战规则、尊重数据保护法律,并通过协同披露上报发现。伦理黑客常持有 OSCP、OSEP、CRTO、CISSP、GPEN、CEH 等证书,并遵循 (ISC)2、EC-Council、OffSec 等机构的职业道德规范。该词与白帽黑客高度重叠,但更强调工作的正式化、雇佣关系与责任。
如何防御 伦理黑客?
针对 伦理黑客 的防御通常结合技术控制与运营实践,详见上方完整定义。
伦理黑客 还有哪些其他名称?
常见的别称包括: 白帽黑客, 渗透测试人员。
● 相关术语
- defense-ops№ 1234
白帽黑客
在获得明确授权的前提下使用攻击技能,发现并报告漏洞以便防御者修复的安全专业人员。
- defense-ops№ 813
渗透测试
对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。
- defense-ops№ 909
红队
进攻方安全团队,通过端到端模拟真实对手来评估组织的检测、遏制和响应能力。
- attacks№ 133
漏洞赏金计划
组织正式邀请外部研究人员报告安全漏洞并根据影响支付奖励的计划。
- attacks№ 221
协调式漏洞披露 (CVD)
漏洞发现者、受影响厂商以及有时的协调方共同就时间表达成一致后再公开披露安全漏洞的流程。
- roles№ 812
渗透测试工程师
获得授权的攻击性安全专业人员,模拟真实攻击针对系统、应用或人员,以在攻击者之前发现可利用的弱点。