乌云和漏洞盒子国内两大白帽子平台突然关闭,黑客和白帽的界限在哪里？(3)

　　同样是在未授权情况下对某网站或服务器进行渗透测试，这样做是否合法合规?李夏向南都记者坦言，其实都是“不合规的，但行业里很多人都会这么做。”

　　按照上述业内资深人士的说法，“正面黑客”查漏洞行为从法律角度是没有合法规定的，只是现在几个漏洞平台由政府支持，所以处于一个“不算违法”的情况。一般漏洞检测有两种情况，一是厂商发起众测，并根据漏洞大小予以打赏;一种是自发上报，引起厂商或者漏洞平台的注意，换取积分可以在漏洞商城换一些极客商品，或者有厂商会自发打赏，这个价格没有标准。

　　二者各成圈子

　　和“黑客”贩卖网络漏洞获得的高额收入相比，“正面黑客”更多被认为是“情怀主义”。猎豹移动安全专家李铁军向南都记者介绍说，在国外，微软、谷歌等科技公司都会给“正面黑客”专门的奖励，并且加上荣誉公告。“价格都在几千美元到几万美元不等，”李铁军说，这当然不能与“黑客”相比，一个高危漏洞在黑市上卖出上百万美元都很正常。

　　“(”正面黑客“)不能沾那些事情，一旦沾了的话，就回不了头。”李夏特别强调。

　　李铁军也指出，“其实很多数据库泄露都是撞库等方式泄露的，这是数据库本身已经暴露的基础上造成的，根本不需要黑客这种技术功底。”

　　腾讯科恩实验室成员陈良表示，近几年来网络信息泄漏事件频发，加上信息安全从业人员水平的提升，使得“正面黑客”开始被当成正当职业对待，而圈子内“黑客”和“正面黑客”分得比较开。腾讯电脑管家团队成员邓欣表示，公开场合内二者会有技术、研究成果的交流，但也仅限于此，“比如说像Q Q盗号的人，他们有自己的圈子，他们交流不走国内的渠道，他们找一些很偏的通讯软件进行沟通。”邓欣说。

　　名词解释

　　●正面黑客：

　　IT行业内指有能力识别计算机或者网络系统中存在的安全漏洞，但不做非法用途，而是告知企业修复漏洞，之后再公布细节的人，和黑客仅有一线之隔。被喻为网络世界中的“超级英雄”。

　　●乌云网：

　　漏洞报告平台，此前铁道部官网12306用户数据泄漏一事便是由该平台进行公布，提醒用户更改密码，因而赢得用户不少好感。

原文转自：http://tech.sina.com.cn/i/2016-07-20/doc-ifxuapvs8902132.shtml