白帽子如何找洞

1. 如何看待白帽子在乌云网提交世纪佳缘网漏洞后被抓

这是一个道德问题。白帽子头顶上虽然顶着个白色的帽子，看起来是安全的，但其实任何没有经过允许的检测都属于非法的恶意攻击，是犯法的。即便你没有做什么，即便提交到wooyun或者360的补天。这里面有个关键，就是厂商不找你麻烦！大部分厂商对于白帽子提交漏洞，都是欢迎的，但心里其实还是有点拒绝的。因为没人喜欢别人指出自己的错误，因为那样显得自己是个白痴。即便你认为你的行为是正义的是善意的，是为了网络安全做贡献的。大部分厂商对于这样的行为是睁一只眼闭一只眼的，不找你麻烦。而世纪佳缘....只能说那个被抓的，是厂商对于白帽子这种行为不满的牺牲品。而很多众测行为，是经过厂商允许的。
并且这里有个问题，新闻中说了发现了大量访问数据库的连接。所以厂商根本无法确定白帽子是否泄漏了数据库卖给黑产。只能报警。这样的情况之前不是没出现过，wooyun有很多。一些黑客入侵一些网站，把数据库拖了，然后卖掉。最后再去wooyun或者360的补天提交漏洞。

2. IT圈说的白帽子，红帽子，黑帽子都是指什么

白帽子：亦称白帽黑客、白帽子黑客，是指那些专门研究或者从事网络、计算机技术防御的人，他们通常受雇于各大公司，是维护世界网络、计算机安全的主要力量。很多白帽还受雇于公司，对产品进行模拟黑客攻击，以检测产品的可靠性。

黑帽子：亦称黑帽黑客、黑帽子黑客，他们专门研究病毒木马、研究操作系统，寻找漏洞，并且以个人意志为出发点，攻击网络或者计算机。

红帽子：也叫红帽黑客、红帽子黑客，最为人所接受的说法叫红客。严格的来说，红帽黑客仍然是属于白帽和灰帽范畴的，但是又与这两者有一些显著的差别：红帽黑客以正义、道德、进步、强大为宗旨，以热爱祖国、坚持正义、开拓进取为精神支柱，这与网络和计算机世界里的无国界情况不同，所以，并不能简单讲红客就归于两者中的任何一类。

红客通常会利用自己掌握的技术去维护国内网络的安全，并对外来的进攻进行还击，通常，在一个国家受的网络或者计算机受到国外其他黑客的攻击时，第一时间做出反应、并敢于针对这些攻击行为做出激烈回应的，往往是这些红客们。

(2)白帽子如何找洞扩展阅读

黑客起源

“黑客”一词是英文Hacker的音译。这个词早在莎士比亚时代就已存在了，但是人们第一次真正理解它时，却是在计算机问世之后。根据《牛津英语词典》解释，“hack”一词最早的意思是劈砍，而这个词意很容易使人联想到计算机遭到别人的非法入侵。因此《牛津英语词典》中“Hacker”一词涉及到计算机的义项是：“利用自己在计算机方面的技术，设法在未经授权的情况下访问计算机文件或网络的人。”

最早的计算机于1946年在宾夕法尼亚大学诞生，而最早的黑客出现于麻省理工学院。贝尔实验室也有。最初的黑客一般都是一些高级的技术人员，他们热衷于挑战、崇尚自由并主张信息的共享。

3. 如何使用搜索

看看这里。

基本搜索技巧
1、使用逻辑词辅助查找
比较大的搜索引擎都支持使用逻辑词进行更复杂的搜索界定，常用的有：AND(和)、OR(或)、NOT(否)及NEAR(两个单词的靠近程度)，恰当应用它们可以使搜索结果非常精确。另外，也可以使用括号将搜索词分别组合，如〔(新闻OR足球)AND米兰)NOT(“新闻”OR足球〕。

2、使用双引号进行精确查找
如果查找的是一个词组或多个汉字，最好的办法就是将它们用双引号括起来，这样得到的结果最少、最精确。

3、有针对性地选择搜索引擎
用不同的搜索引擎进行查询得到的结果常常有很大的差异，这是因为它们的设计目的和发展走向存在着许多不同，有的专用于USENET的搜索引擎，而有的则是针对邮递列表或IRC等的搜索引擎。使用时要根据自己的需要选择合适的搜索引擎。

4、使用加减号限定查找
很多搜索引擎都支持在搜索词前冠以加号“+”限定搜索结果中必须包含的词汇，用减号“-”限定搜索结果不能包含的词汇。

5、细化查询
许多搜索引擎都提供了对搜索结果进行细化与再查询的功能，如有的搜索引擎在结果中有“查询类似网页”的按钮，还有一些则可以对得到的结果进行新一轮的查询。

6、根据要求选择查询方法
如果需要快速找到一些相关性比较大的信息，可以使用目录式搜索引擎的查找功能。如果想得到某一方面比较系统的资源信息，可以使用目录一级一级地进行查找。如果要找的信息比较冷门，应该用比较大的全文搜索引擎查找。

7、注意细节
在Internet上进行查询时如果能注意一些细节问题，常常能增加搜索结果的准确性，如许多搜索引擎都区分字母的大小写，因此，如果您正在搜索人名或地名等关键词，应该正确使用它们的大小写字母形式。

8、利用选项界定查询
目前越来越多的搜索引擎开始提供更多的查询选项，利用这些选项人们可以轻松地构造比较复杂的搜索模式，进行更为精确的查询，并且能更好地控制查询结果的显示。

快速搜索技巧
网上的信息搜索技术越来越多，怎样才能高效迅速地找到问题的答案呢？有几种技术可以帮助你更加快捷地找到所需网页。没有一种技术是万能的，但将几种技术巧妙地结合起来使用会大大加快网页搜索进程。

1、搜索词组
如果只给出一个单词进行搜索，经常会出现数以千计甚至以百万计的匹配网页。然而如果再加上一个单词，那么搜索结果会更加切题。在搜索时，给出两个关键词，并将两个词用AND(与逻辑)结合起来，或者在每个词前面加上加号“+”，这种与逻辑技术大大地缩小了搜索结果的范围，从而加快了搜索。幸运的是，所有主要的搜索引擎都使用同样的语法。一个带引号的词组意味着只有完全匹配该词组(包括空格)的网页才是要搜索的网页。把这几种符号结合起来使用，能大大提高搜索效率。

2、选择词组
一般说来在网页搜索引擎中，用词组搜索来缩小范围从而找到搜索结果是最好的办法。但是，运用词组搜索涉及到如何使用一个词组来表达某一具体问题。有时简单地输入一个问题作为词组就能奏效，然而简单明了地提问方法只对一部分搜索奏效。选择合适的词组对提高搜索效率是很重要的，实在找不出时可以试试下面的方法。

3、查找信息源
有时词组搜索太精确或者一个词组无法准确表达所需信息。那么可以直接到信息源，这种技术“简单得似乎不值一提”，但却很有效。根本不用搜索引擎，直接到提供某种信息组织的站点去。很多时候我们可以用公式“公司名.com”去猜测某一组织的特点。从而得到所要搜索的信息的主要词组。

4. 怎样洗净发黃的白帽子

• 用漂白水漂白帽子,虽然可以保持洁白,可是也很容易损害衣物。 平时不妨用淘米水来洗白色衣物。
  

• 要想不发黄,就要少用洗衣粉,多用洗衣皂。 刷完之后再用卫生纸贴上帽子的外表就好了。

• 滴墨水法:在一盆干净的凉水中,滴3-5滴纯蓝墨水,用手搅匀,然后清洗.

• 局部的黄色汗渍,可用鲜冬瓜片抹拭污处,冬瓜汁液可将黄渍除去,然后用清水漂净。

  
  

(4)白帽子如何找洞扩展阅读：

白鞋发黄了怎么办

1、小苏打：把一勺小苏打溶解在清水里，把鞋子放进去浸泡一会儿，再涂肥皂即可，用温水洗效果更好。

2、卫生纸：洗好的鞋子用白色纸巾包起来，一来阻挡阳光直射，二来阻挡灰尘。

3、牙膏：先把白色的鞋子洗干净，最好用中性洗涤剂，然后用白色牙膏刷，有助除去鞋上黄斑。

4、蓝墨水：清水中滴3-5滴蓝墨水，把漂洗后的鞋子放进去浸泡10分钟，再拿出来晾干，黄色污迹就变淡了。

5、啤酒：先把鞋子洗干净，然后浸泡到啤酒中，有助去污，随后再洗净即可。

6、粉笔：鞋子洗净晾干后，用白粉笔仔细涂抹，污点较多的地方可多涂几遍，涂后晒一晒，穿前抖一抖。但粉笔的主要成分是石灰，颗粒很粗、对鞋子可能会有伤害，慎用。

7、海绵：不用洗涤剂，直接沾少量水擦洗，可帮助去除我们白鞋上面的污渍。

8、橡皮擦：橡胶鞋底的清洁，以及对付顽固污渍，都可以用橡皮擦处理。

提醒：针对不同类型的鞋，清理的方法要加以区分地使用。

5. 如何看待苹果iOS日历字符串溢出漏洞

这种东西有什么好看待的？
出了漏洞该修复修复，该给白帽子奖励的奖励，然后各过各的
难道还要上升到人性吗？
那我们干脆不找洞了

6. 如何看待白帽子在乌云网提交世纪佳缘网漏洞后被抓

这件事，世纪佳缘内部决定钓鱼抓人的那决策者，和网上这些光从法律角度谈问题说没抓错的人，都很幼稚。
为什么幼稚，很简单，因为现在社会的事实是，一个法律制定出来后，不是说人们就都守法了，不守法的人就都被抓了的。法律永远把整个人群分成两部分，一部分是守法的人，一部分是不守法就是专门跟你对着干的人。由于警察资源永远是有限的，所以导致违法的人永远存在。
所以公司里这个做决策的人，他要考虑的不仅仅是把守法的人考虑进去，他还要考虑那些不守法的人。因此他的思维就不能单纯到认为，法律是禁止渗透的，你渗透我了，我就报警抓你，人家恰恰就是因为帮他的忙才会暴露给他，这一抓，以后怎么办，他如何面对那些渗透他网站但什么也不和他说的那些真正的黑客呢，完全靠网络警察吗，网警的力量毕竟也是有限的。由此可见世纪佳缘的这个决策者大脑是差一窍。

补充几句话：

原本的情况是，白帽子自觉把漏洞提交后，厂商有弥补漏洞的机会，以免持续遭到黑产的侵袭。现在世纪佳缘把白帽子一抓，接下来的会发生的事情很好推理，那就是白帽子不再处理世纪佳缘网的漏洞，也就是世纪佳缘网如果再次出现漏洞，被处理被修复的可能性降低，导致我们的用户数据在世纪佳缘网的服务器上的安全性降低，导致我们用户不再愿意把自己的数据放到他的服务器上。由此倒推回去，当初决定抓白帽子的决策，是错的，和法律支不支持其实没多大关系。

抓人的前提很简单，就是你能够百分之百的控场，或者法律执行者的实力可能百分百控场。假如世纪佳缘的安全团队实力足够高，高到能够防范任何一个黑客攻击的前提下，你可以抓人，或者是你确保网警的实力能侦破任何一个黑客入侵的案子，而且是迅速侦破，也可以抓人。

7. 白帽子讲Web安全的前言

在2010年年中的时候，博文视点的张春雨先生找到我，希望我可以写一本关于云计算安全的书。当时云计算的概念正如日中天，但市面上关于云计算安全应该怎么做却缺乏足够的资料。我由于工作的关系接触这方面比较多，但考虑到云计算的未来尚未清晰，以及其他的种种原因，婉拒了张春雨先生的要求，转而决定写一本关于Web安全的书。 我对安全的兴趣起源于中学时期。当时在盗版市场买到了一本没有书号的黑客手册，其中coolfire 的黑客教程令我印象深刻。此后在有限的能接触到互联网的机会里，我总会想方设法地寻找一些黑客教程，并以实践其中记载的方法为乐。
在2000年的时候，我进入了西安交通大学学习。在大学期间，最大的收获，是学校的计算机实验室平时会对学生开放。当时上网的资费仍然较贵，父母给我的生活费里，除了留下必要的生活所需费用之外，几乎全部投入在这里。也是在学校的计算机实验室里，让我迅速在这个领域中成长起来。
大学期间，在父母的资助下，我拥有了自己的第一台个人电脑，这加快了我成长的步伐。与此同时，我和一些互联网上志同道合的朋友，一起建立了一个技术型的安全组织，名字来源于我当时最喜爱的一部动漫：“幻影旅团”。历经十余载，“幻影”由于种种原因未能得以延续，但它却曾以论坛的形式培养出了当今安全行业中非常多的顶尖人才。这也是我在这短短二十余载人生中的最大成就与自豪。
得益于互联网的开放性，以及我亲手缔造的良好技术交流氛围，我几乎见证了全部互联网安全技术的发展过程。在前5年，我投入了大量精力研究渗透测试技术、缓冲区溢出技术、网络攻击技术等；而在后5年，出于工作需要，我把主要精力放在了对Web安全的研究上。 发生这种专业方向的转变，是因为在2005年，我在一位挚友的推荐下，加入了阿里巴巴。加入的过程颇具传奇色彩，在面试的过程中主管要求我展示自己的能力，于是我远程关闭了阿里巴巴内网上游运营商的一台路由设备，导致阿里巴巴内部网络中断。事后主管立即要求与运营商重新签订可用性协议。
大学时期的兴趣爱好，居然可以变成一份正经的职业（当时很多大学都尚未开设网络安全的课程与专业），这使得我的父母很震惊，同时也更坚定了我自己以此作为事业的想法。
在阿里巴巴我很快就崭露头角，曾经在内网中通过网络嗅探捕获到了开发总监的邮箱密码；也曾经在压力测试中一瞬间瘫痪了公司的网络；还有好几次，成功获取到了域控服务器的权限，从而可以以管理员的身份进入任何一位员工的电脑。
但这些工作成果，都远远比不上那厚厚的一摞网站安全评估报告让我更有成就感，因为我知道，网站上的每一个漏洞，都在影响着成千上万的用户。能够为百万、千万的互联网用户服务，让我倍感自豪。当时，Web正在逐渐成为互联网的核心，Web安全技术也正在兴起，于是我义无返顾地投入到对Web安全的研究中。
我于2007年以23岁之龄成为了阿里巴巴集团最年轻的技术专家。虽未有官方统计，但可能也是全集团里最年轻的高级技术专家，我于2010年获此殊荣。在阿里巴巴，我有幸见证了安全部门从无到有的建设过程。同时由于淘宝、支付宝草创，尚未建立自己的安全团队，因此我有幸参与了淘宝、支付宝的安全建设，为他们奠定了安全开发框架、安全开发流程的基础。 当时，我隐隐地感觉到了互联网公司安全，与传统的网络安全、信息安全技术的区别。就如同开发者会遇到的挑战一样，有很多问题，不放到一个海量用户的环境下，是难以暴露出来的。由于量变引起质变，所以管理10台服务器，和管理1万台服务器的方法肯定会有所区别；同样的，评估10名工程师的代码安全，和评估1000名工程师的代码安全，方法肯定也要有所不同。
互联网公司安全还有一些鲜明的特色，比如注重用户体验、注重性能、注重产品发布时间，因此传统的安全方案在这样的环境下可能完全行不通。这对安全工作提出了更高的要求和更大的挑战。
这些问题，使我感觉到，互联网公司安全可能会成为一门新的学科，或者说应该把安全技术变得更加工业化。可是我在书店中，却发现安全类目的书，要么是极为学术化的（一般人看不懂）教科书，要么就是极为娱乐化的（比如一些“黑客工具说明书”类型的书）说明书。极少数能够深入剖析安全技术原理的书，以我的经验看来，在工业化的环境中也会存在各种各样的问题。
这些问题，也就促使我萌发了一种写一本自己的书，分享多年来工作心得的想法。它将是一本阐述安全技术在企业级应用中实践的书，是一本大型互联网公司的工程师能够真正用得上的安全参考书。因此张春雨先生一提到邀请我写书的想法时，我没有做过多的思考，就答应了。
Web是互联网的核心，是未来云计算和移动互联网的最佳载体，因此Web安全也是互联网公司安全业务中最重要的组成部分。我近年来的研究重心也在于此，因此将选题范围定在了Web安全。但其实本书的很多思路并不局限于Web安全，而是可以放宽到整个互联网安全的方方面面之中。
掌握了以正确的思路去看待安全问题，在解决它们时，都将无往而不利。我在2007年的时候，意识到了掌握这种正确思维方式的重要性，因此我告知好友：安全工程师的核心竞争力不在于他能拥有多少个0day，掌握多少种安全技术，而是在于他对安全理解的深度，以及由此引申的看待安全问题的角度和高度。我是如此想的，也是如此做的。
因此在本书中，我认为最可贵的不是那一个个工业化的解决方案，而是在解决这些问题时，背后的思考过程。我们不是要做一个能够解决问题的方案，而是要做一个能够“漂亮地”解决问题的方案。这是每一名优秀的安全工程师所应有的追求。 然而在当今的互联网行业中，对安全的重视程度普遍不高。有统计显示，互联网公司对安全的投入不足收入的百分之一。
在2011年岁末之际，中国互联网突然卷入了一场有史以来最大的安全危机。12月21日，国内最大的开发者社区CSDN被黑客在互联网上公布了600万注册用户的数据。更糟糕的是，CSDN在数据库中明文保存了用户的密码。接下来如同一场盛大的交响乐，黑客随后陆续公布了网易、人人、天涯、猫扑、多玩等多家大型网站的数据库，一时间风声鹤唳，草木皆兵。
这些数据其实在黑客的地下世界中已经辗转流传了多年，牵扯到了一条巨大的黑色产业链。这次的偶然事件使之浮出水面，公之于众，也让用户清醒地认识到中国互联网的安全现状有多么糟糕。
以往类似的事件我都会在博客上说点什么，但这次我保持了沉默。因为一来知道此种状况已经多年，网站只是在为以前的不作为而买单；二来要解决“拖库”的问题，其实是要解决整个互联网公司的安全问题，远非保证一个数据库的安全这么简单。这不是通过一段文字、一篇文章就能够讲清楚的。但我想最好的答案，可以在本书中找到。
经历这场危机之后，希望整个中国互联网，在安全问题的认识上，能够有一个新的高度。那这场危机也就物有所值，或许还能借此契机成就中国互联网的一场安全启蒙运动。
这是我的第一本书，也是我坚持自己一个人写完的书，因此可以在书中尽情地阐述自己的安全世界观，且对书中的任何错漏之处以及不成熟的观点都没有可以推卸责任的借口。
由于工作繁忙，写此书只能利用业余时间，交稿时间多次推迟，深感写书的不易。但最终能成书，则有赖于各位亲朋的支持，以及编辑的鼓励，在此深表感谢。本书中很多地方未能写得更为深入细致，实乃精力有限所致，尚请多多包涵。 在安全圈子里，素有“白帽”、“黑帽”一说。
黑帽子是指那些造成破坏的黑客，而白帽子则是研究安全，但不造成破坏的黑客。白帽子均以建设更安全的互联网为己任。
我于2008年开始在国内互联网行业中倡导白帽子的理念，并联合了一些主要互联网公司的安全工程师，建立了白帽子社区，旨在交流工作中遇到的各种问题，以及经验心得。
本书名为《白帽子讲Web安全》，即是站在白帽子的视角，讲述Web安全的方方面面。虽然也剖析攻击原理，但更重要的是如何防范这些问题。同时也希望“白帽子”这一理念，能够更加的广为人知，为中国互联网所接受。 全书分为4大篇共18章，读者可以通过浏览目录以进一步了解各篇章的内容。在有的章节末尾，还附上了笔者曾经写过的一些博客文章，可以作为延伸阅读以及本书正文的补充。
第一篇 我的安全世界观是全书的纲领。在此篇中先回顾了安全的历史，然后阐述了笔者对安全的看法与态度，并提出了一些思考问题的方式以及做事的方法。理解了本篇，就能明白全书中所涉及的解决方案在抉择时的取舍。
第二篇 客户端脚本安全就当前比较流行的客户端脚本攻击进行了深入阐述。当网站的安全做到一定程度后，黑客可能难以再找到类似注入攻击、脚本执行等高风险的漏洞，从而可能将注意力转移到客户端脚本攻击上。
客户端脚本安全与浏览器的特性息息相关，因此对浏览器的深入理解将有助于做好客户端脚本安全的解决方案。
如果读者所要解决的问题比较严峻，比如网站的安全是从零开始，则建议跳过此篇，先阅读下一篇“服务器端应用安全”，解决优先级更高的安全问题。
第三篇 服务器端应用安全就常见的服务器端应用安全问题进行了阐述。这些问题往往能引起非常严重的后果，在网站的安全建设之初需要优先解决这些问题，避免留下任何隐患。
第四篇 互联网公司安全运营提出了一个大安全运营的思想。安全是一个持续的过程，最终仍然要由安全工程师来保证结果。
在本篇中，首先就互联网业务安全问题进行了一些讨论，这些问题对于互联网公司来说有时候会比漏洞更为重要。
在接下来的两章中，首先阐述了安全开发流程的实施过程，以及笔者积累的一些经验。然后谈到了公司安全团队的职责，以及如何建立一个健康完善的安全体系。
本书也可以当做一本安全参考书，读者在遇到问题时，可以挑选任何所需要的章节进行阅读。 感谢我的妻子，她的支持是对我最大的鼓励。本书最后的成书时日，是陪伴在她的病床边完成的，我将铭记一生。
感谢我的父母，是他们养育了我，并一直在背后默默地支持我的事业，使我最终能有机会在这里写下这些话。
感谢我的公司阿里巴巴集团，它营造了良好的技术与实践氛围，使我能够有今天的积累。同时也感谢在工作中一直给予我帮助和鼓励的同事、上司，他们包括但不限于：魏兴国、汤城、刘志生、侯欣杰、林松英、聂万全、谢雄钦、徐敏、刘坤、李泽洋、肖力、叶怡恺。
感谢季昕华先生为本书作序，他一直是所有安全工作者的楷模与学习的对象。
也感谢博文视点的张春雨先生以及他的团队，是他们的努力使本书最终能与广大读者见面。他们的专业意见给了我很多的帮助。
最后特别感谢我的同事周拓，他对本书提出了很多有建设性的意见。
吴翰清
2012年1月于杭州

8. 欢喜密探里包贝尔戴的那个白帽子

一名叫大毛的男子偷偷来到房内找裘清月的夫人，大毛告诉她他觉得他们两人不能再这样偷偷摸摸下去了，他想娶她如果裘清月不同意的话他们三人可以一起过。说完正在大毛要解开她衣服的时候外边突然有人说着火了。在裘府放完火后，春花让吴伯前去茅府引开茅夫人，然后她再偷偷地带着油溜进去放火。天黑时刻他们已经将裘清月与茅罡的府邸都烧了，只剩下龙府还没有放火。龙府外，吴伯将油泼完才发觉火种丢在了茅府没有办法放火，春花递给了吴伯一根树枝让吴伯钻木取火。

9. 一出单元门白帽子就被风刮得无影无踪，说啥也没找到寓意着什么

一出单元门白帽子就被风刮得无影无踪，说啥也没找到寓意着什么？
能有什么寓意啊，只是一出门有一阵大风呗，自然就把那个白帽子刮跑了，本身戴着又不结实。

10. 阿拉伯人头上的白帽子+白布,哪个是什么东东!!

[一]男子的装束

身着大袍，外加披风，包头巾上戴头箍，为阿拉伯人的形象。
阿拉伯大袍多为白色，衣袖宽大，袍长至脚，做工简单，无尊卑等级之分。它既是平民百姓的便装，也是达官贵人的礼服，衣料质地随季节和主人经济条件而定，有棉布、纱类、毛料、尼绒等。