鬼故事 - 总有刁民想害朕

Credit: 海绵宝宝
灵感来源：UCCU Hacker

故事开始

故事又来到了小红，小红从学生时期就很喜欢到处找漏洞，
那麽找漏洞当然不是拿来做黑产，找到漏洞小红也会做漏洞通报，
从来不脱库、偷资料，可谓是一个优良道德骇客。

而这个故事是发生在协助漏洞通报与对方时发生的对话，
小红：「我是 OOO 单位，寄这封信是因为贵单位的 ### 网页有!@#$%漏洞」
对方：「说吧，你们要多少钱才不会打我们」
小红：「？？？我想你是误会了唷，我们并不是黑客」
对方：「不是黑客怎麽会测试我们网站！还找我们网站漏洞」
小红：「(开始解释漏洞通报是什麽)」
对方：「讲那麽多，我们又不会修，反正你们不要公开漏洞就好了阿」
小红：「不是这样讲，就算我们不公开，漏洞还是在哪边，真正的黑客还是会打你们的」
对方：「还说你们不是勒索！不管，这个我不会修如果我发现这个漏洞被公开或是被攻击，我会告你们！」

资安探讨

上面故事中的对话或许觉得很瞎，但身为资安人员的你要想的是，
你在这种情况下该如何让对方更好的了解你的善意，当然这本故事中小红已经尽最大善意，
最後故事其实是圆满落幕的，对方默默地两个礼拜後修掉漏洞。

如何做一位好骇客

虽然故事中我们看到受测单位拒绝修补，小红的人物设定是一位好骇客，
避免人家三不五时就说要告你的麻烦，请看一下这张图

灵感来源：UCCU Hacker

在实际我们在外面找有漏洞的网站，我们还是优先找有 bug bounty 或是有开放资安测试的，原因是因为我们如此我们可以规避许多麻烦的法律，并且在合理的测试范围中协助测试获得奖励。

如果要在没有明确规定/bug bounty的网站，做测试请保护好自己，也不要让对方的服务瘫痪/异常，甚至是尝试偷取资讯，这些通通都有机会被告的。在笔者的经验，有些屁孩骇客左手偷别人资料，右手又做资安通报以为神不知鬼不觉，其实都被後来的调查人员看在眼里。

而企业也应该拥抱这种漏洞通报，毕竟这些人是抱持一个善良的心态协助你让你的资安更好，毕竟你的产品也可能肩负着这些通报人员的亲朋好友的资料，大家一起让资安变得更好！