中國(guó)青年網(wǎng)8月25日北京消息 “土夫子”不會(huì)寫代碼，但這不妨礙他成為白帽駭客，擁有8年運(yùn)維根基的他，特別擅長(zhǎng)挖邏輯漏洞。截止8月24日，他總計(jì)向滴滴DSRC提交20個(gè)漏洞，累計(jì)積分高達(dá)11652，高居榮譽(yù)排行榜首。近日，這位神秘的白帽駭客對(duì)外講述了如何成為滴滴安全榮譽(yù)榜首第一的背後故事。

　　和慣常的經(jīng)歷不同，“土夫子”高二便輟學(xué)，到北京後曾輾轉(zhuǎn)于各類網(wǎng)際網(wǎng)路公司工作，包括上市公司、創(chuàng)業(yè)公司等。剛接觸安全時(shí)他還沉浸在《盜墓筆記》裏，於是有了“土夫子”這個(gè)ID，通過(guò)自學(xué)，土夫子每天分析10-40個(gè)漏洞進(jìn)行歸納總結(jié)，積累了挖漏洞的技能，如今的他一邊工作一邊兼職做白帽。

　　一年前，土夫子開(kāi)始了對(duì)滴滴的持續(xù)“關(guān)注”，那時(shí)候滴滴安全剛起步?！拔矣袀€(gè)朋友，業(yè)餘時(shí)間挖漏洞很厲害，受他影響，我也開(kāi)始鑽研漏洞。運(yùn)維出身學(xué)習(xí)安全知識(shí)，既是為了自我發(fā)展，也是興趣驅(qū)動(dòng)，正好滴滴安全起步，於是我開(kāi)始專挖滴滴漏洞，沒(méi)想到拿了第一名?！?/p>

　　漏洞是在硬體、軟體、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。這也是所有科技公司都要面臨的問(wèn)題，很多科技公司甚至懸賞高價(jià)鼓勵(lì)白帽駭客提交漏洞，而金錢之外，他們更視挖到漏洞為榮耀，他們?cè)谶@樣的工作中找尋到成就感。

　　為了挖一個(gè)漏洞，土夫子經(jīng)常對(duì)著顯示屏一坐就是6、7個(gè)小時(shí)，最嚴(yán)重的時(shí)候得了眼病，去醫(yī)院開(kāi)了瓶眼藥水，繼續(xù)挖漏洞，而為了做漏洞測(cè)試，因?yàn)槿∠唵翁l繁，土夫子三個(gè)手機(jī)號(hào)被封。

　　“有一次，週五提交了漏洞，與滴滴的安全工程師研究了一晚上沒(méi)有復(fù)現(xiàn)問(wèn)題，為了復(fù)現(xiàn)漏洞，週六在家陪著安全工程師加班，我們兩人電話交流，研究一天，終於復(fù)現(xiàn)問(wèn)題?！蓖练蜃诱h。

　　對(duì)於白帽駭客而言，最大的認(rèn)可莫過(guò)於最迅速的回應(yīng)，“有一次，我在夜裏12點(diǎn)提交一個(gè)漏洞，滴滴安全這邊竟然立即響應(yīng)了?！?/p>

　　此外，土夫子稱：“DSRC是我見(jiàn)過(guò)最厚道的SRC，曾經(jīng)提交一個(gè)漏洞，自評(píng)為高危，但滴滴安全工程師審核後打到了嚴(yán)重級(jí)別，評(píng)分非常厚道?！?/p>

　　所有這些努力沒(méi)有白費(fèi)，土夫子獲得滴滴安全榮譽(yù)榜排行榜第一名，也獲得了高額的獎(jiǎng)勵(lì)。同時(shí)，他也呼籲白帽駭客：“要多動(dòng)手，不要做破壞，注意保護(hù)公司資訊安全，驗(yàn)證漏洞點(diǎn)到為止，不要放shell和拖庫(kù)?！?/p>

　　據(jù)悉，滴滴出行安全應(yīng)急響應(yīng)中心（簡(jiǎn)稱DSRC）于去年2015年11月上線，目前擁有“提交漏洞”、“公告”、“禮品商城”、“個(gè)人中心“四大版塊。如果用戶發(fā)現(xiàn)滴滴出行産品和業(yè)務(wù)的安全漏洞，可註冊(cè)訪問(wèn)滴滴出行安全應(yīng)急響應(yīng)中心(sec.didichuxing.com)參與漏洞提交。

　　相關(guān)負(fù)責(zé)人表示，該平臺(tái)旨在集合安全領(lǐng)域的專家、白帽子、社會(huì)團(tuán)體及個(gè)人共同發(fā)現(xiàn)潛在的漏洞資訊，並依此建立漏洞統(tǒng)計(jì)分析中心，預(yù)知並自查風(fēng)險(xiǎn)，及時(shí)修復(fù)漏洞，幫助提升自身産品的安全性，同時(shí)為用戶營(yíng)造一個(gè)更安全的網(wǎng)際網(wǎng)路出行生態(tài)圈。