【钛坦白】漏洞银行CTO张雪松：企业遭遇黑客入侵的原罪—

图片来源：视觉中国

在钛媒体在线课“钛坦白”第50期，我们邀请了三位钛客讲讲企业要如何应对信息安全问题。本期钛客之一、漏洞银行联合创始人、CTO张雪松，拥有10年网络安全研究经验，擅长网络协议分析技术。曾负责研发Web宙斯盾、玄武域等Web应用防护产品。首创的ITS入侵追踪设备曾获得全国创新创业大赛银奖。张雪松曾为众多大型企业设计安全方案，现负责漏洞银行平台生态建设与企业安全产品研发。
本文节选自张雪松在钛坦白的分享。如果您还不是钛媒体Pro用户，希望查看钛坦白所有干货，进入钛坦白九个专业群交流，并查看更丰富的专业数据和信息，可点击：https://www.tmtpost.com/pro 注册。

以下根据张雪松在钛坦白的分享实录整理：

大家好，很高兴受邀来钛媒体做这次主题分享。首先先简单的介绍一下我的情况吧。我从事网络安全技术已经有十多年了，目前是漏洞银行的技术总监。我曾经做过程序开发人员，也做过网络黑客，在信息安全方面我既做过防守方，也做过攻击方，所以今天我想给大家带来更加全面的视角，来审视网络安全问题。

我平时经常会被企业高管问道：“有没有办法能够彻底解决黑客入侵的问题？”其实这个问题并不能简单的讲有或没有，而是我们如何来看清楚网络安全的本质问题？如何来探究企业及网络安全中的攻防之道？我将在本次分享之中带领大家进行一次网络安全的探究之旅。

回顾我们身边的安全大事

首先带领大家来回顾一下我们身边的安全大事。从最早的2011年开始，我们来把这些安全大事件回顾一下，这样能有一个清晰的认识。这些信息来自于互联网和媒体报道。

2011年。这一年实际上非常不平凡。我们国内最大的技术网站CSDN遭遇了最严重的安全事故，超过一亿的用户名和密码遭到了泄露，同年黑客爆出了其他各大知名网站的数据库。这些数据库主要包含用户名、密码等信息。同年在国际上，国际货币基金组织、花旗银行、索尼影业，Facebook也同样遭遇了黑客入侵，用户的保密信息都遭到了窃取和泄露。
2012年。同样也是不平凡的一年，京东商城出现了重大的支付漏洞，损失达两亿，当然官方称已经修复并且报警了。同年全球百所大学，还有linkin、雅虎等知名网站的用户名和密码也均遭到了泄露，最严重的是Symantec和VMware的源代码遭受到了黑客的盗取。
2013年。爆发了严重的Struts2漏洞。这个漏洞引发了全国各大机构和知名网站的紧急修复工作，同时也让一些知名网站的数据遭到了泄露。当然国内同年还发生了一个比较重大的事件，那就是开房数据被黑客泄露，黑客入侵到了酒店的管理系统里，酒店的开房信息包括身份证、姓名、手机号等开房信息遭到盗取和泄露，这个也是影响非常大的。同年国外的美国银行、彭博社、苹果、Facebook、Twitter这些知名的网站其实也相继遭受到了黑客的入侵，用户的数据也遭到了泄露和曝光。这一年还爆出了棱镜门事件，引发了大众对于网络安全和隐私安全的思考。
2014年。爆出了携程网的一个重大支付漏洞，携程网泄露了部分用户的信用卡信息，导致某些用户的信用卡遭到了盗刷。同年还有OpenSSL“心脏出血”的漏洞，漏洞影响非常的大，黑客可通过这个漏洞获取到登陆网站的用户名和其他相关的信息。据当时的不完全统计，国内大部分的知名网购、网银、社交门户等网站，都遭遇到了此漏洞的影响，这次事件至少影响了两亿中国网民。同年特斯拉电动汽车也被首次攻破，黑客可以远程的控制这辆汽车，开锁、鸣笛等操作。
2015年。机锋网、大麦网、网易、申通快递、中国人寿等知名网站都遭受了用户信息泄露事件，影响上亿用户的隐私。同年也有一些重要单位遭遇黑客入侵，有接近超过五千万条社保个人信息遭到泄露，其中包括个人的身份证、社保参保的信息，财务、薪酬、房屋等一些敏感的信息。同年美国人事管理办实事也被黑客入侵，超过有2700万条的信息泄露，泄露事件引起了美国和西方世界的恐慌，因为这样的个人信息泄露，实际上是与民众生活息息相关。
2016年。雅虎超过15亿的用户信息遭到黑客泄露，俄罗斯的黑客成功盗取了2.7亿邮箱信息，包括4000万的雅虎邮箱，3300万的微软邮箱还有2400万的谷歌邮箱，同年OpenSSL又爆出了重大漏洞“水牢漏洞”，这次水牢漏洞也同样波及到全球400万的网站。同年还有MySpace的数据泄露，超过3.6亿的用户信息被黑客窃取。这一年还有个更大的事件，那就是美国大选，美国大选也受到了信息安全相关的影响，就是希拉里的邮件门事件，也就是说美国的民主党全国委员会、筹款委员会、竞选团队等的邮件均被黑客组织截取，接近两万封邮件被维基解密披露，所以大选的结果也被直接影响。
2017年。今年实际上还没有过完，但是也已经发生了很多大事件。3月份Struts2再次爆发远程高危漏洞，全国各大机构连夜修复，该漏洞可直接远程控制相关服务器。4月份12306官方网站也出现过安全漏洞，可以获取到不同用户的个人信息。同月上亿的优酷数据库在暗网售卖。今年还出现了最大勒索病毒事件， 5月份新型的蠕虫型勒索病毒WannaCry爆发感染，相关的政府单位、企业单位第一时间对于这个勒索病毒进行相关漏洞的修复。据不完全统计，现在全球大约有两千多万台的主机遭受到了感染，病毒影响范围非常广，后续还出现了变种病毒，依然感染了众多主机。今天国外，土耳其的黑客组织宣称掌握了三亿苹果帐户，邓白氏52GB的数据库也遭到了泄露，还有加拿大的贝尔公司有190万的客户信息遭到黑客的泄露。

今年也有一则利好的事件，就是《中华人民共和国网络安全法》在6月1日正式执行，这对中国的网络安全是个里程碑式的事件，将深远的影响未来网络安全的发展。

我们回顾这7年的安全大事件，绝大多数都是影响范围很广的，80%是知名网站数据遭遇入侵，核心数据泄露，20%是致命漏洞引发的大范围安全事故。这些事件动辄就是上千万的用户遭受影响，而且都是比较知名的网站和机构，那问题就来了，既然都是知名机构为何还是屡次出现这类重大的安全事件呢？难道是安全投入不够吗？这其实是值得大家思考的问题。

可能大家会从很多角度，很多方面找出很多原因来阐释这些安全事件，比如安全投入不够、安全架构不好、数据保护措施不足等等，但是今天我想从另一个角度来讲这个问题。那就是信息安全我们应该更多的关注什么？本质是什么？

信息安全有很多要素：完整性、保密性、可用性、不可否认性和可控性，这是学术上的定义，但是这往往不利于我们看清信息安全的本质。看清本质其实只需要去探究一个问题即可，那就是信息安全的敌人是谁，是谁在产生着危害。我想大家都很清楚，幕后真凶其实就是黑客。

黑客这个神秘的人群

如果说信息安全只有一个要素要解决的话，那就是要解决黑客的问题，因为只要有黑客的存在，那就会有人对我们的企业、用户以及我们信息化系统的安全造成危害。那我们想要了解信息安全、想要分析信息安全的本质，就必须要了解黑客这个人群，正所谓知己知彼百战百胜，所以我们接下来就去了解一下黑客这个人群是怎样的。那接下来我们就说说故事，讲一讲黑客这个神秘的人群。

黑客的特点

生活简单。黑客的核心理念就是“No one is safe”。对于他们来说，没有什么是安全的，这就是他们的一个信念。我身边其实有很多拥有黑客技术的人，这群人还是很奇特的，他们的生活也非常的简单。其中一个朋友，他的签名就是Eat、Hack、sleep。什么意思呢？就是吃饭、研究黑客技术、睡觉，就这么简单，他们其实非常专注于技术，他们热衷于研究技术的原理，并且会研究的非常透彻，基本上生活中大部分的时间都会坐在电脑前把所有的他们喜欢的技术彻头彻尾的给学会，并在里面去寻找这些技术的利用方法。

成就心强。这个人群的成就心也很强，他们喜欢享受那种“通过一人之力即可撬动一个机构”的成就感，想一想他们拥有的这些黑客技术，实际上就可以实现这一点。可能花一些时间，一个人就可以入侵一些非常知名的机构，特别是一些跨国界的黑客，这些黑客专门选一些国外的重点大型军事机构，选择最难的目标进行攻击，然后他们以能够入侵进去为荣，所以这群人的成就心也是非常强的。

之前回顾2011年到2017年的安全事件，其实这些安全事件都发生在知名的网站和机构，实际上这些都是他们非常乐于入侵的目标。像知名网站泄露的核心数据基本上国内的黑客人手一份，而且他们为了去拿到这样的一些数据，通宵达旦的入侵。

所以说在国内，只要你在有过泄露的网站上注册过用户名和密码，那么其实所有黑客都会有你一份的用户名和密码，只是说他想不想去盗你的帐号而已，所以在出现泄露事件的时候建议大家赶快去修改自己的密码，同时也建议大家不要用一套用户名和密码在多个地方注册，这也是大家经常犯的一个错误，因为黑客会利用人们的这一点，用你相同的用户名密码，登陆不同的网站和系统，包括QQ、微信、邮箱等，他都会去尝试，这样你很多账号都会被盗。

行踪隐蔽。我们再说说这个人群他们的行踪习惯，实际上他们非常的不喜欢暴露自己的信息，甚至连拍照他们都经常避免，基本上他们也不发朋友圈，而且肯定不会在微博、朋友圈这些社交媒体上去暴露自己的生活照片和相关信息，他们做事非常谨慎，甚至在外面注册一个App都要用小号来注册，这样以保证自己相关信息的安全性和保密性。同时他们上网的时候，也不会用自己的真实IP，会挂一个代理去上网。

思维奇特。这一点非常的重要，黑客人群的思维模式非常的奇特，他们非常的聪明，而且从来不按常理出牌。也就是说我们思维中即成了很多固定规则的做事方式，而在黑客的思维里面，他们完全不是这样的，他们完全不会按照既定的规则来，而且他们思维模式非常的不寻常。他们经常会发现事物中另外的途径，会发现另外的方法来达到自己的目的，也就是说你要跟一个黑客玩游戏的话，他第一时间想到的并不是我如何在游戏中对抗你，而是会去想怎么样能够跳出这个规则，然后通过其他的方法来取得这场游戏的胜利。

为何会存在这样的人群？

实际上黑客这个人群最早的时候，都是一群技术爱好者。这群技术爱好者有非常多的好奇思路，然后他们会进行非常多的尝试性实验，在这个基础之上就诞生出了新颖的攻击方式，诞生出了新颖的漏洞利用方法，从而这群人就开始了对黑客技术的探索。

最早的这群技术爱好者他们在互联网上并没有恶意，只是热衷于研究信息技术，但是后来慢慢的就划分出了两类人群。这两类人群分别就是尝试型黑客和目的型黑客。尝试型黑客主要以学习和验证技术为主，这群黑客会经常的入侵但是不会产生破坏，然后会不断的去研究分析入侵的技术。目的型黑客演化出了非常多的目的性，比如说他要炫耀，或者破坏，窃取，盗号，反盗号等等，他们在学习和研究黑客技术的过程中，掺入了大量的个人目的，慢慢的就演化出了一些非常恶意性的黑客。

尝试型黑客和目的型黑客这两类人群又随着互联网信息化的发展，慢慢的职业化，相关的领域目的也会更加的明晰，渐渐也就演变成了现在的几个分支：安全专家、白帽群体和黑产黑客。安全专家，专门从事安全研究。白帽群体包括一些红客和组织他们依然是喜欢和热爱安全事业的，只是并未从事安全行业。而最后一群人，则演变成了大家比较深恶痛绝的黑产黑客，他们被黑产利益所引诱，从事了违法犯罪的行为。

黑产

如果去分析为什么会出现这样一群专门为了破坏信息安全而诞生的人群的话，我觉得这一个原罪应该归于黑产。黑产真的是让很多有技术的人去做了违法犯罪的事情，从而演变成了黑产上的黑客。那黑产又是什么，为何黑客进行了攻击会有利益呢？接下来我就让大家了解一下黑产是什么。

黑产包含四部分——黑客技术实施、黑市、黑产犯罪团伙、黑产周边团伙。

黑客技术实施：黑客在黑产的环节之中发挥的作用是非常重大的，但是他们实际上不参与直接的利益转化，而是仅提供技术，也就是黑客技术的实施。像黑客编写木马病毒，入侵别人的网站，制造钓鱼网站等等，他们其实没有太多的利益可以直接获取，但是他们有一个目的：他们提供技术盗取用户的信息，或掌握和控制用户主机。实际上在很多黑客电影里面，大家都会看到，黑客就是提供技术环节的人，并不是从头到尾都使坏的那个人，他们是电影里的技术专家，只负责去窃取数据，然后通过光盘等把数据交给其他人使用。

黑市：黑客没有直接参与黑产利益转化，但是他却提供了技术支持和数据支持，然后将这些技术和数据通过黑市或相关接头人进行售卖，卖给真正能够产生利益价值的犯罪团伙。售卖的技术工具有木马、病毒和一些网络武器程序，这类程序可直接进行DDos攻击或操控僵尸网络。其他都是售卖数据，大量的数据按条目进行售卖，然后被各种分销。

黑产犯罪团伙：黑产的犯罪团伙是利用黑客提供的技术和数据进行一系列的利益转化，而最直接的可能就是拿个人信息进行诈骗或广告，大家手机短信会经常收到一些莫名的广告，或者会收到一些陌生人推销电话，这些就是因为你的相关信息被卖了出去，所以才会这样，还有一些诈骗的案例，他们都是在黑产上面获取到的这些个人信息。

黑产周边团伙：其实这些团伙更加的厉害，他们有非常多的手段可以将利益最大化。举个例子，支付平台被入侵后，他们会将钱款分批次转账出去，这个过程中如果没有专门的洗钱团伙和专门的取钱、取卡团伙的话，是很容易抓住罪犯并追回赃款的，但是通过专业的洗钱团伙，他们就可以让资金通过多层关系进行洗白，让这些钱款无法追查，这样利益就被有效的转化了。

我们了解黑产后，大家就应该明白了，我们的企业、用户，为什么会遭到黑客攻击？实际上是因为黑客攻击之后，是有利益可取的。这些利益有些是非常巨大的，比如像个人信息，都是按条目售卖的，如果获取了上百万、上千万的个人信息，按条目去售卖的话，这个价值就非常大。如果是一手数据，那么黑客获益会非常多。

而我们这些信息经过多次的转手之后又到了其他人手里，价值会不断减少，黑客又会怎么办呢？他们会利用撞库进行攻击，也就是用用户名和密码去尝试登陆其他的系统，从而获取到不同平台的数据。

了解到这里之后，其实我们就大概明白了黑客为什么会来攻击我们了。那我们了解之后，接下来还有一个问题，黑客是万能的吗？黑客他一定能够入侵成功吗？那我们接下来要了解一下，黑客的这个技术以及黑客的相关攻击是怎么去实现的。

探究原罪——漏洞

其实黑客在很多人的眼中都是很神秘的，因为他并不是一个很明确的技术，我在小的时候就有一个疑问，既然大家都觉得黑客技术是非常高深的技术，那为什么这个技术大家不去学呢？不能像书本知识一样学习呢？而后来才知道，黑客这个技术一项复杂的技术，更多的是一种思维模式和技术手段的结合，也就是黑客在进行一次入侵和攻击时，实际上在做非常多的事情，当然这些事情是有些最本质的核心点的。

黑客攻击的核心——漏洞

大家可以看一下黑客攻击的这张图，在中间的区域就是黑客所要经历的所有过程。当然这里还没有列举全，但是我们可以发现，这样一个过程的核心环节是什么？那就是去寻找漏洞。因为黑客的技术就是嫁接在漏洞之上，如果说你没有漏洞，那黑客就很难去发挥。黑客所有的思维模式都是去找漏洞，利用这些漏洞来实现更多的权限，实现更多的黑客手段。

黑客如何攻击／入侵系统？

过去在协助侦破黑客案件时，一般第一思考的就是黑客是通过什么途径和漏洞进行入侵的，并针对入侵整个的路径进行一个还原，然后再进行一个反追踪。根据入侵的路径然后再根据留下的信息和特征进行逆向，从而再进行反追踪的工作。

所以说当企业遇到黑客入侵的时候，应该第一想到的就是：“我哪里出现了漏洞？”这里我大概列了几点：

管理漏洞。这个可以非常简单的理解，就是企业的管理，包括人员的漏洞。这里有一个最经典的攻击方式就是客服攻击，因为有很多网站提供了客服人工的申诉，比如说我要修改密码，但密码忘记了，手机也找不到了，我要申诉。而这个时候就要对客服进行社会工程学的攻击，黑客通过收集大量被攻击者的信息，利用社会工程学的方法，让客服把目标账号的密码给重置，从而获得重要的账号。

逻辑漏洞。我们很多的网站有支付功能，在支付流程中，网站需要进行多次确认，如果网站开发时没有很完备的流程设计和审计，这时黑客把数据包改一下，把钱改一下，前面下订单的时候是99元，支付的时候只需1块钱就支付成功了，这样就产生了逻辑漏洞，也就是最经典的1元买iphone的漏洞，这类的漏洞也是非常经典的。

协议漏洞。比如像Ddos的SYN攻击就是非常典型的一个协议漏洞，在Ddos攻击的时候通过发送大量的SYN数据包来消耗目标主机的资源。

提权漏洞。这类漏洞也很常见。黑客可以利用系统机制，获取到系统管理员的权限，这时就可以对系统进行最高级别的命令执行，从而下载数据库或植入木马。

防护漏洞。这类漏洞是大家经常会遗忘的，就是我们所用的这些防火墙、安全设备或者说安全方案，其实里面也是有漏洞的，黑客也可以利用这些漏洞进行入侵。越是我们信任的环节往往造成的危害越大。

那我们综合来看黑客在进行攻击的时候，最核心的目标是什么？他就是去寻找你所有的漏洞，把所有的相关信息收集起来，然后做成一个作战地图，根据这张作战地图去分析你在整个数据保护、信息架构等层面存在的漏洞。然后会根据这些漏洞进行尝试，当然这些漏洞有技术上的漏洞，也有思维上的漏洞，还有相关流程和规则上的漏洞，只要黑客足够有耐心，就能确保可以攻陷系统。

这些漏洞其实都是值得我们企业去关注、思考、审视的，如果这些环节都会有漏洞的话，相信企业安全也非常难做，并且黑客也是有非常多的点可以去危害企业的。

关于漏洞产生的二三事

那既然漏洞是根源，它是怎么产生的呢？我们就拿程序开发这个过程来分析下，因为我也做过开发人员，相信大家大部分受到入侵攻击的也都是企业信息系统，这些信息系统的程序开发会经历很多过程。这张图就列了一个非常简单的过程：开发人员编写代码，每个人员编写完代码后自己会进行单元测试，测试完了之后多人会把代码进行整合，整合完成之后再进行一个上线测试，最终再发布上线，其实每一个环节都有一些不可避免的风险会产生漏洞。
每个环节都可能产生漏洞

每个环节都可能产生漏洞

比如说开发人员，我们很多开发人员是不懂安全技术的，他也不是安全专家，只会实现功能，完成程序正常的流程，但是却无法完全避免实现方式里存在的漏洞。再说单元测试，通常企业里只做功能和性能测试，但不会做安全测试。代码整合阶段同样会出现一些逻辑问题，由于是不同人员开发的，整合在一起是不是会产生漏洞，没有一个完善的机制。最后的上线环节也同样会出现漏洞风险，有个案例，苹果的开发工具可以发布很多苹果的App，但是如果开发工具本身被黑客动了手脚，那发布出来的程序是不是都会附带危害？这个恰恰是我们新闻爆出的大事件，苹果开发工具被黑客修改发不到网上，大量知名APP都遭受到了影响，导致最终的程序含有恶意代码。

所以我们单就程序开发、网站开发这样的过程，就会有诸多的环节产生漏洞风险，那其他过程我们就更无法确保不会产生风险了。
常见的漏洞有哪些？

常见的漏洞有哪些？

接下来我们看下漏洞情况分布，这张图是IBM做的一个分析，值得注意的是从2014年到2016年，漏洞逐步转向更多未知类型，包括零日漏洞这类非常见漏洞，所以未来零日漏洞的威胁会逐步变大。

漏洞的发展历程

既然漏洞无处不在，那我们企业如何去应对呢？我们还是要慢慢的去了解和掌握这些漏洞，从全局来看，漏洞是有一个发展历程的，我们要清晰的了解它的演化过程。现在总结出来大概有三个阶段，是基于威胁进行定义的：

第一阶段，基础威胁阶段。基于操作系统、协议、机制本身的不完善产生的漏洞威胁。我们信息化刚刚起步的时候，存在大量系统安全和协议安全的威胁，就在2010年之前，大部分都是病毒威胁，大家会使用很多的杀毒软件，那是因为当时的操作系统有非常多的漏洞，还有一些协议安全，也就是说像Ddos、 ARP攻击等，都是在那个阶段出现的，所以在那个阶段更多的这种漏洞都是基于系统漏洞和协议漏洞，基于这样一些威胁我们在做防御。

第二阶段，应用威胁阶段。随着基础系统的不断升级，慢慢从基础漏洞威胁就转移到了应用层的威胁。也就是说在2010年到2017年入侵事件非常多。那就是网站存在应用层漏洞。比如SQL注入、XSS、越权漏洞等，因为大家操作系统越来越安全，慢慢黑客就转战到了应用层的漏洞上，所以在这个阶段出现了大量应用层漏洞。

其实经过我们这些年的发展，目前网站安全已经做得非常好了，而且现在开发网站的开发人员也意识到了有非常多的应用层的漏洞，他们会在开发网站的时候杜绝这样一些漏洞的风险。

第三阶段，数据威胁阶段。随着数据越来越重要，就产生了针对数据安全的威胁漏洞。这个阶段的漏洞大部分是什么样的呢？有防护漏洞、零日漏洞、框架漏洞、自动化攻击漏洞、欺诈漏洞等，随着威胁和我们安全的升级，漏洞也是在不断转变的，这里面的一个规律是什么呢？其实最核心的规律就是黑客的入侵成本问题，也就是黑客会选择入侵成本更低、利益最大的方式。

任何新的平台，都会经历着这三个阶段，比如我们的智能手机。最早的智能手机系统本身是不安全的，那时候出现了大量的系统恶意程序，慢慢的升级到现在的安卓和苹果，系统会越来越安全，这时候就到了应用安全的阶段，就会有一些APP二次打包，假冒与钓鱼APP出现。而慢慢随着安全机制升级。黑客可能就会进入到第三个阶段，就是直接去攻击你的数据，监听你的数据窃取你存储在服务器上的数据，也会利用其他的驱动来窃取键盘数据等。

如何解决漏洞？未来何去何从？

我们大概对漏洞也非常的了解了，接下来我们该如何面对呢？也就是说我们的未来将何去何从？这里我先跟大家讲一下安全的本质，这是一张安全投入、威胁程度以及入侵成本的曲线图，大家可以仔细看一下这张图，其实它反映了非常多的问题。

其实安全这个事情就是一个黑与白的博弈。也就是说随着我们安全成本投入的提升，威胁就会越来越小，黑客的入侵成本也会提高，这也是大家有所共知的一个规律。但是这里面就牵扯到一个问题，就是我发现非常多的企业会进行全面的安全建设，花费大量的安全经费，但却没有达到这个曲线上所实现的效果，这究竟是为什么呢？

实际上很多企业没有把安全投入到最重要的方面，没有投入到与入侵成本有关的方面。所以在这种基础之上，我建议企业一定要学会利用黑客的思路进行布防，我们最关注的就是如何能够提高黑客的入侵成本，用黑客的视角来进行防御。

这里给大家列一些漏洞发现的工具：代码审计工具、漏洞扫描产品、渗透测试服务、众测服务、建立SRC（Security Response Center）。

巧用工具学会黑客的视角审视系统里面究竟有没有漏洞，按照黑客的入侵思路进行有效益的安全建设，这才能达到我们预期的期望。当然这些“工具”也有成本对比，优劣对比，我们漏洞银行也推出了更加适合企业的解决方案，这些都需要企业做好相关工作，切实选择适合自己的方案。

最后我再提一点就是我们今年颁布的《网络安全法》，这个也是非常重要的，是我们企业对付黑客违法行为非常重要的一个武器，也希望大家去看一下《网络安全法》的研读，有了立法就有了明确的法律武器，帮助企业打击黑客犯罪行为。

钛坦白群友互动：

1、请问“漏洞银行”，为什么称为银行呢？

张雪松：看来大家对这个品牌名称还是很感兴趣，为什么叫漏洞银行呢？我讲下我的一个理解。漏洞银行平台拥有上万注册白帽（拥有黑客技术的人）为企业做漏洞挖掘和测试，用黑客视角帮助企业寻找威胁与漏洞。白帽会把漏洞提交给平台，其实每个漏洞都是非常有价值的，就像金钱一样，那我认为这个如同是存取漏洞的银行，是一个非常形象的比喻吧。我们也会持续专注于解决漏洞问题，帮助企业将所有与漏洞风险有关的问题彻底解决。

2、请问张总，我想知道黑客这么会隐藏自己的行踪，他们怎么找女朋友啊？

张雪松：这个问题问的非常好。首先很多黑客他们本身单身的比较多，同时他们有这样的一个特性：一旦圈内有新技术新的漏洞利用方式出现，他们会彻夜通宵来研究和利用漏洞，完全会把女朋友抛掷脑后，所以也确实会很难找到女朋友。

3、请问现在好多网站可以使用自己的微信授权，对于安全考虑是不是尽量避免这种授权？

张雪松：其实在很多应用里面都会进行微信授权，这里面一般来说，对方应用只能够拿到你的头像和昵称信息，微信授权接口没有授权微信号、手机号等隐私信息，所以只要你头像不用个人照片，昵称没有真实名称，一般没有太多风险。但是在大数据时代，这些授权页面收集到足够多的信息，再进行一个建模，然后会通过你的昵称和头像发现你的手机号和地址，这种情况就比较危险了。建议尽量少去进行这种授权，像一些比较知名的品牌或者是公众号，授权是没有问题的，其他不知名的网页就不要授权了。

4、请问现在如果一个初创公司要开发一款App，是不是需要与这样的安全机构合作？

张雪松：现在初创的公司做APP应用开发的话，实际上安全还是有必要的，至少需要了解APP相关的安全内容，如果能够让安全公司给出一个相应的咨询报告或者是给出一个安全建议，实际上能够利于你们后期出现的很多问题。APP本身它的问题也很多，因为是有客户端和服务端的，中间还有一些通讯，包括现在还有专门做APP安全的，所以APP这一块的应用也是十分需要重视安全的。（本文独家首发钛媒体，根据漏洞银行联合创始人、CTO张雪松在钛坦白上的分享整理）

………………………………………

钛坦白第51期：初创企业如何做品牌与市场？

详情：https://www.tmtpost.com/2746861.html