个人中心

登录 | 注册

咨询/预约我的订单我的网课我的问答我的评价我的权益浏览记录我的收藏
机构中心

教培机构
教培机构入驻教育宝平台、搭建私域流量运营系统或购买百度知了好学

查看详情登录后台

网课机构
录播课程和知识付费机构入驻教育宝网课平台

查看详情登录后台

基础教育学校
公立私立幼儿园、中小学、职业学校入驻教育宝学校库

查看详情登录后台

课外活动机构
研学、周末活动、冬夏令营机构入驻研学活动子平台

查看详情登录后台

老师/大咖
各细分领域的资深老师、教练和从业者入驻教育宝大咖平台

查看详情申请合作
平台客服
- 400-601-2788

郑州博为峰

中国IT职业人才培训领域的先行者

郑州博为峰老师直接接听

400-029-09** 转 172841

查看完整号码

扫码拨号

微信扫码拨号

漏洞赏金平台员工利用Bug做副业？偷窃他人漏洞报告变卖！

作者：博为峰来源：博为峰 2022年08月08日更新

随着互联网发展的越来越迅速，软件的普及程度以及盈利都得到了进一步的发展，但正是因为普及性越来越广，导致安全问题频出，这也使得大众越来越关注软件的安全性。在这样的大环境下，“白帽黑客”应运而生，白帽黑客泛指那些在黑客的立场攻击自己的系统以进行安全漏洞排查的程序员。他们用的是黑客（一般指“黑帽子黑客”...

随着互联网发展的越来越迅速，软件的普及程度以及盈利都得到了进一步的发展，但正是因为普及性越来越广，导致安全问题频出，这也使得大众越来越关注软件的安全性。在这样的大环境下，“白帽黑客”应运而生，白帽黑客泛指那些在黑客的立场攻击自己的系统以进行安全漏洞排查的程序员。他们用的是黑客（一般指“黑帽子黑客”）惯用的破坏攻击的方法，行的却是维护安全之事。和网络安全工程师的性质有点相同。大多数的普通黑客都是**在安全企业，通过检测计算机系统安全性来谋生。而这次的事故正是和这个岗位有关。偷窃漏洞报告变卖成副业为了预防漏洞或是软件Bug，很多公司会花重金找到“白帽黑客”来查看漏洞，找出Bug，有需求自然有市场，HackerOne就是全球知名的“白帽黑客”聚集地。它是一个用于协调漏洞披露，并为提交安全报告的漏洞猎手提供货币奖励的中介平台。

经过深入调查，HackerOne确定，其一名员工自4月4日加入公司后已经访问该平台系统两个多月，并联系了七家公司来报告已经通过其系统披露的漏洞，从中获取赏金。当HackerOne发现这个不正常事态后，最终在开始调查后不到24小时的时间，HackerOne确定了那名威胁行为者，并终止了他的系统访问权限、远程锁定了他的笔记本电脑。最终HackerOne解雇了这名员工。并表示“总而言之，这是一个严重的事件。我们相信内部人员的访问现在已经得到控制。内部威胁是网络安全中最阴险的威胁之一，我们随时准备尽一切努力来减少未来发生此类事件的可能性。” 从这次的软件安全事件，我们不难看出，在网络发展越来越发达的现在，网络安全已经成为了每个企业所需要担忧的首要任务。安全测试的重要性随着互联网、大数据、人工智能、云计算、5G等技术全面渗透到各行各业，改造并影响着生产生活的各个环节，网络安全在各行业也起到了举足轻重的作用。可以认为，但凡和移动互联网相关的行业如今都需要网络安全人才的加入，其中，安全测试人才更是极为重要的存在。并且，安全测试随着项目经验的不断增长和对行业背景的深入了解，会越老越吃香。在掌握企业核心网络架构、安全技术的同时，具有不可替代的竞争优势。职业价值随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨。根据数据统计，2022年第一季度，网络安全领域的招聘比例进一步提升，其中技术人才招聘占比增至67.6%，平均招聘月薪为20235元。

这个数据的原因也有迹可循，对前沿技术的重视能够提高网络安全领域的技术深度，是取得人才和行业发展的重要手段之一，而网络安全作为一个复合性领域，其对技术要求也就不言而喻。专家提出，网络安全技术人才供需严重失衡，不仅体现在数量，更体现在不同类型人才供给和需求之间的错位。目前行业平均供求比约为1：2，存在资深人才储备不足、新人培养和育留难度大等挑战。根据数据统计，以下岗位是2022年一季度网络安全岗位需求TOP 10，其中，测试排在了第十位。由此可见，安全测试人才的需求量在社会仍不容小觑。安全测试并不遥远对于很多新手而言，他们在入行初期，可能主要从事的是功能测试，所以有些人会觉得安全测试非常遥远。但其实，安全测试还真没有你想得那么遥远。譬如：我们需要修改url 的参数，他们也同样需要；我们测过用户会话是否如期 timeout，他们也一样。他们也需要做测试计划、需要设计测试用例、需要做bug分析与管理等等。

安全测试涵盖的范围很广，在某种程度上我们需要有比性能测试、自动化测试等更为广泛的基础知识。实际上，很多所谓的安全测试工程师仅仅停留在使用一些自动化审计工具来检测系统，并对工具检测出来的bug进行梳理，然后把它提给开发人员。当然，安全测试确实比一般的测试要复杂一些。一个专业的安全测试专家，在某种程度上来说，也可以算是一个全栈工程师。但作为测试人，我们更具有先天优势，学起来也会更容易，而且代码运用也没有全栈工程师那么多，所以，感兴趣的同仁，千万不要被安全测试的“外貌”吓到。虽然安全测试作为一种较为高端的技术，但也正因为它的技术性，使得企业更加青睐于经验资深的安全测试人员，经验越丰富，薪资和待遇就会越好。所以说安全测试岗位不存在吃青春饭的问题，跟大多数技术岗位一样，安全测试是越做越好，前景非常不错的岗位。写在最后如今安全测试对于测试员来说，是一个风口。安全测试未来的发展方向有信息安全专家、信息安全分析师、信息安全总监、安全咨询师、IT安全架构师等等，岗位职业晋升方向还是比较多的。想要从事这些行业的小伙伴也可以多加留意。