白帽黑客是指利用黑客技能识别硬体，软体或网路中的安全漏洞的个人。然而，与黑帽黑客不同，白帽黑客尊重法治，因为它适用于黑客攻击。

白帽黑客，也称为道德黑客，只有在法律允许的情况下才会寻求漏洞或漏洞利用。白帽子可能会对开源软体，以及他们拥有的或他们有权调查的软体或系统进行研究，包括操作bug赏金计划的产品和服务。

与黑帽子或灰帽子黑客不同，白帽子会向负责修复漏洞的公司或所有者披露他们发现的所有漏洞，以便在被恶意行为者利用之前解决问题。

通常，白帽黑客是独立工作或与其他研究人员一起工作的安全研究人员，但是一些白帽子是公司的全职员工，他们正在研究漏洞和漏洞。独立研究人员或承包商可能会单独披露漏洞，但一些公司也有漏洞赏金计划，通过这些计划可以披露安全漏洞以获得奖励。渗透测试人员，无论他们是独立承包商还是员工，通常都被认为是白帽黑客。许多白帽黑客都是黑帽黑客。这些术语来自古老的西方电影，其中英雄经常戴著白帽子，坏人戴著黑帽子。

白帽子，黑帽子和黑帽子黑客的区别

除了白帽外，还有另外两种类型的黑客：黑帽子和灰帽子。

白帽黑客向负责该系统的一方披露他们发现的所有漏洞 - 通常是制造受影响产品的公司或供应商 - 黑帽黑客毫不犹豫地向最高出价者出售漏洞和漏洞利用，例如作为犯罪组织，通常是为了利用它们。黑帽黑客愿意违法发现，创造和利用安全漏洞以谋取私利或作出政治声明。

灰帽黑客在道德谱上落在白帽和黑帽之间。灰帽子通常认为自己是好人，他们对自己运作的规则更加灵活。例如，灰帽黑客可能比白帽黑客更有可能在未获得所有者许可或授权的情况下访问系统，但是比黑帽黑客更不可能对这些系统造成损害。虽然通常不会受到经济利益的驱使，但灰帽黑客可能会试图让他们已经入侵的系统的所有者付钱给他们修补或修复这些系统。

灰帽黑客的道德行为也可能因他们对黑客攻击的个人或组织的价值观念而有所不同。灰帽可能会与他们支持的行为的公司或政府机构协调泄露漏洞，而当漏洞影响他们不支持的组织时，他们可能会与其他黑客分享漏洞。

例如，当FBI调查参与2015年San Bernardino射击的嫌疑人时，它无法解锁他的iPhone。在一次高度宣传的反复宣传中，苹果拒绝为联邦调查局解锁手机，这引发了针对执法加密后门的黑暗争论。

虽然苹果公司仍然拒绝解锁iPhone，但华盛顿邮报报道称，至少有一名灰帽黑客帮助向FBI披露了iPhone中至少一个安全漏洞，然后该机构能够访问射手的手机。在这个例子中，白帽黑客会向Apple披露漏洞，以便供应商解决问题。白帽子黑客工具和技术白帽黑客，特别是那些进行渗透测试的黑客，使用与黑帽黑客相同的黑客技术来发现安全漏洞。渗透测试涉及收集有关测试目标的信息 - 例如网路或Web应用程序 - 识别可能的入口点，尝试突破这些点，然后报告测试结果。道德黑客也可能使用诸如向公司的员工发送电子邮件并尝试搜索敏感信息，甚至物理上试图打破并进入系统的策略。在这些极端情况下，只有公司的顶级员工才会知道发生了什么。

白帽也可能对公司系统的克隆版本执行拒绝服务攻击，或者在关键用法最小时对系统本身执行拒绝服务攻击。

社交工程是白帽黑客用来测试公司真正安全性的另一种黑客技术。社交工程攻击利用人类行为诱骗人们破坏安全程序或泄露敏感信息。一些白帽黑客也使用安全扫描程序和框架来查找已知的漏洞。
推荐阅读：

相关文章