白帽子

黑客也有好坏之分，也就是所谓的黑帽子和白帽子。24岁的大三学生Behrouz(“Ben”) Sadeghipour就是一名白帽子，他用自己的实际行动在与黑帽子做斗争，与此同时还挣得了大量现金。

他每周大概会用20个小时的时间来挖漏洞，当然找漏洞并不是无偿的，公司一般都会给予一定的现金奖励或者其他一些奖励。目前，Sadeghipour在圈内小有名气，他时常会被邀请作为白帽子参加一些安全会议。

专访Bugcrowd白帽子、大三学生Behrouz

1、你是怎样开始白帽子工作的？

我之前就已经了解到，像谷歌，雅虎，微软等这样的大公司，他们会雇佣一些白帽子来测试其系统，不少公司是通过第三方平台发布测试项目，如果发现漏洞就会给予一定的奖励。

2、你是怎样获得这份实习工作的？

2月份的时候，我是作为一名自由职业者开始挖漏洞，当时找到了很多的漏洞，所以公司对我的印象比较深刻。后来我就开始在Twitter上和Bugcrowd运营副总Jonathan Cran聊天。之后我又在拉斯维加斯的一个白帽子会议上遇见了cran和公司的其他几位高管。7月份他们就给了我一个实习的机会， 9月就开始了我的实习生涯。我希望毕业以后能在Bugcrowd或者类似的安全公司工作。

3、作为一个SOHO白帽子能挣多少？

提交20-30个漏洞报告大概挣了2万美元。事实上我提交了至少有100份漏洞报告，只是有些公司没有给现金奖励，只是给了纪念性T-shirt之类的东西。但是有些比较厉害的白帽子，加上原有工作的工资，他们的年薪大概会在7-8万美元。

4、你怎么决定做白帽子的？

在我小的时候，妈妈严格限制我上网，她甚至会设置电脑登录密码。而我会一直坐在电脑前破解密码直至成功。从那时起我就开始阅读黑客相关的文章，并学会了自己写代码，之后也一直坚持自己的爱好从事计算机相关的工作。

但在我18岁的时候，我决定不在从事计算机相关的工作了，因为我的家人一直在告诉我黑客是违法的，我也不想做违法的事，所以就决定放弃计算机类的工作。曾停滞了三年，直到我听说了漏洞奖金这回事。很尴尬，因为我后来我才知道黑客有黑帽子、白帽子之分，黑帽子是邪恶的，他们会窃取用户数据；而白帽子是正义的，他们主要是从事一些研究并阻止黑客利用漏洞。

做黑帽子还是做白帽子取决于是想以肮脏的方式挣很多钱还是以高尚的方式挣较少的钱。

5、为什么不好好读大学课程，要做白帽子？

做白帽子是理论联系实际的一个绝佳途径，大学里学的理论知识相对很简单，而通过实际挖漏洞可以学到更多。就我个人而言，我9个月的挖洞历程比我之前在学校里学的要有用的多。

6、你是怎样合理安排学业和工作的？

我大概每周会花20个小时用在挖漏洞上，其他时间还是用在学业上。

7、你最值得自豪的成绩是什么？

我过去曾读过一些关于牛人的文章，我当时就想我要是也能成为那样的人就好了，我还希望能做到雅虎的前十名。我做到了！还有就是我的家人现在都以我为荣，谷歌中输入我的名字就会出现很多关于我的文章，我已经是小有名气了！

相关阅读：专访漏洞盒子（VulBox）白帽子Mohamed

FreeBuf不只一次的报道过关于国外漏洞奖励计划和白帽子，相信各位国内的朋友都对国外的黑客与白帽子充满好奇。今天FreeBuf有幸邀请到了埃及顶尖白帽子默罕默德先生。默罕默德曾经为Google、Facebook、Twitter、微软、苹果等公司提交个多个高价值漏洞，同时也是FreeBuf兄弟产品漏洞盒子（VulBox.COM）的专家团成员。

FreeBuf：很荣幸邀请到埃及顶尖白帽子默罕默德先生，简单介绍下自己？

默罕默德：大家好，我叫默罕默德·拉马丹（Mohamed Ramadan），来自埃及。我平时会做一些在线渗透测试课程，教授白帽子们安全技术，并且在阿拉伯电视频道一档电视节目中当嘉宾。

FreeBuf：哪些安全领域是你最关注的？取得了哪些主要成绩？

默罕默德：我热爱各领域的渗透测试（Web和网络）及移动app（包括iPhone，Android，黑莓和Windows Phone）的逆向工程。在2012年、2013年和2014的Facebook的白帽子名单（https://www.facebook.com/whitehat/thanks/）中，我位列前茅。

FreeBuf：你为哪些公司提交了漏洞？哪个漏洞让你印象深刻？

默罕默德：我为Google, Facebook, Twitter, Microsoft, Apple, Adobe, Nokia, AT&T, RedHat, SoundCloud, GitHub, Etsy, Nokia Siemens, Zynga等公司都提过漏洞哦！还包括通过你们FreeBuf的漏洞盒子（VulBox.COM），我向中国的腾讯公司提交过漏洞。

其中，Facebook的漏洞奖励计划让我印象深刻。我曾经向Facebook的手机app提交了多个安全漏洞，获得奖金超过10000美元。

FreeBuf：网络安全在你们国家流行吗？人们都是通过哪些方式学习安全技术的呢？

是的，网络安全在埃及非常流行，白帽子们乐于向厂商提交安全漏洞。而人们学习安全知识的途径也很多，比如通过在线课程、专题教程、书籍、视频和安全论坛。

FreeBuf：作为一名移动安全渗透测试专家，关于移动app的渗透测试，对FreeBuf的安全爱好者有什么经验可以分享吗？

默罕默德：首先你需要做好准备工作。除了作为渗透目标的app外，我推荐一下我的工具列表：越狱后的iphone设备、安卓模拟器、已root的安卓手机设备、app虚拟机（https://appsec-labs.com/AppUse）、iOS渗透测试框架iNalyzer（https://appsec-labs.com/iNalyzer）、Wireshark、Burpsuite、Iexplorer。

FreeBuf：你知道一些中国的安全研究者吗？

默罕默德：抱歉，我并不知道中国的安全研究者，但是我很希望认识他们。

FreeBuf：在你的空闲时间，有什么爱好吗？

默罕默德：我喜欢读书，玩iPad和PS游戏，另外看电影、刷Facebook和Twitter也是我的爱好。对了，还有睡觉:)

FreeBuf：对漏洞盒子和FreeBuf有什么建议吗？

默罕默德：我希望漏洞盒子和FreeBuf很快能有英文的版本！

[Behrouz专访参考来源sacbee.com，Mohamed专访为FreeBuf独家，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）]