白帽黑客
白帽黑客 是什么?
白帽黑客在获得明确授权的前提下使用攻击技能,发现并报告漏洞以便防御者修复的安全专业人员。
白帽黑客是严格遵守法律、并取得目标系统所有者许可的伦理安全从业者。白帽常担任渗透测试人员、应用安全工程师、红队成员、漏洞研究人员或漏洞赏金猎人。他们遵循交战规则、协同披露时间表,以及 OWASP、NIST、CREST 等组织的标准。其目标是提升安全态势,而非造成损害、经济损失或未授权的数据访问。许多人持有 OSCP、CRTO、CISSP、CEH 等认证,并在书面合同下作业,合同明确测试范围,禁止破坏可用性或侵犯隐私的行为。
● 示例
- 01
白帽在发现漏洞 24 小时内,通过厂商的漏洞赏金计划提交权限提升问题。
- 02
外部渗透测试人员在合同范围内完成测试并交付带签名的整改报告。
● 常见问题
白帽黑客 是什么?
在获得明确授权的前提下使用攻击技能,发现并报告漏洞以便防御者修复的安全专业人员。 它属于网络安全的 防御与运营 分类。
白帽黑客 是什么意思?
在获得明确授权的前提下使用攻击技能,发现并报告漏洞以便防御者修复的安全专业人员。
白帽黑客 是如何工作的?
白帽黑客是严格遵守法律、并取得目标系统所有者许可的伦理安全从业者。白帽常担任渗透测试人员、应用安全工程师、红队成员、漏洞研究人员或漏洞赏金猎人。他们遵循交战规则、协同披露时间表,以及 OWASP、NIST、CREST 等组织的标准。其目标是提升安全态势,而非造成损害、经济损失或未授权的数据访问。许多人持有 OSCP、CRTO、CISSP、CEH 等认证,并在书面合同下作业,合同明确测试范围,禁止破坏可用性或侵犯隐私的行为。
如何防御 白帽黑客?
针对 白帽黑客 的防御通常结合技术控制与运营实践,详见上方完整定义。
白帽黑客 还有哪些其他名称?
常见的别称包括: 伦理黑客, 白帽。
● 相关术语
- defense-ops№ 390
伦理黑客
获得授权对系统使用攻击技术、帮助所有者在被对手利用前发现并修复弱点的安全专业人员。
- defense-ops№ 098
黑帽黑客
出于个人利益、意识形态或恶意目的,在未经授权的情况下入侵系统,违反计算机犯罪相关法律的恶意威胁行为者。
- defense-ops№ 451
灰帽黑客
介于伦理与非伦理之间的黑客,常在未经明确授权的情况下探测系统,但通常意在披露而非造成损害。
- defense-ops№ 813
渗透测试
对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。
- attacks№ 133
漏洞赏金计划
组织正式邀请外部研究人员报告安全漏洞并根据影响支付奖励的计划。
- attacks№ 221
协调式漏洞披露 (CVD)
漏洞发现者、受影响厂商以及有时的协调方共同就时间表达成一致后再公开披露安全漏洞的流程。
● 参见
- № 457黑客