黑客技术哪家强？来认识一下这六位百万美元黑客大佬

黑客技术哪家强？来认识一下这六位百万美元黑客大佬

你想成为百万美元黑客吗？对于大多数起步从事网络安全行业的人来说，他们认为要在黑客这个行当赚取百万美元，可能需要冒着被抓坐牢的风险才行。

或者我们脑海里对黑客的印象一直就是那些非法入侵系统进而非法获取数据信息的人，毫无疑问，这种就是罪犯，是攻击者，老实说，这是一种相当愚蠢的做法。毕竟，现在有很多利用黑客技术来赚钱的方式，比如漏洞众测（Bug Bounty），我们可以做一名白帽黑客，通过发现上报漏洞来赚钱。生活在如今这个数据驱动的时代，可以通过漏洞众测充分利用自身技术来维护网络安全并获取利益，且不会违法。

近期，苹果公司出价100万美元悬赏无需用户交互就能破解iOS内核的技术，另外，漏洞收购平台Zerodium出价200万美元悬赏远程zero-click（零点击）越狱破解苹果手机的技术。与此同时，HackerOne平台中有6位白帽黑客赚取的漏洞赏金已经超过100万美元，他们是如何做到的呢？

白帽黑客组成的漏洞赏金平台-HackerOne

HackerOne平台8月29日宣布，到目前为止，在其平台中有6名注册白帽黑客赚取的漏洞赏金超过100万美元。HackerOne是一个第三方漏洞众测平台，它的客户包括通用汽车、高盛、谷歌、英特尔、微软、Spotify、星巴克、Twitter甚至是美国国防部，HackerOne的宗旨是利用注册的白帽黑客力量先于恶意攻击者利用漏洞之前去发现并堵塞漏洞，白帽黑客在此过程中通过发现漏洞来获得厂商给予的赏金。

HackerOne安全工程师Laurie Mercer透露，HackerOne已经有50万的注册白帽黑客，而且每天会有大约600名的新增注册白帽。目前为止，白帽黑客们通过HackerOne平台已经发现了超过130,000个漏洞。而为漏洞提供赏金的做法也并非新鲜事， Mercer介绍，早在30年前就曾有过悬赏1000美元发现哈勃望远镜操作系统的先例。

随着时代发展，类似的做法也逐渐被人们推广接受。据Laurie Mercer声称，HackerOne已经向来自150个不同国家的白帽黑客支付了近6500万美元的漏洞赏金，迄今为止，HackerOne对单个漏洞的最高支付奖金为10万美元，是2013年第一笔支付赏金的200多倍。据HackerOne的CEO Marten Mickos预测，到2020年底，届时其平台的漏洞赏金发放量将超过1个亿，且HackerOne的注册白帽也将超过100万。

白帽黑客的确是一个有利可图未来可期的行业，如果需要更多的证明，今年举办的黑客夏令营（Hacker Summer Camp）就能说明。今年8月，在Black Hat USA 和 DEFCON会议期间，HackerOne的黑客夏令营之H1-702比赛如期进行，100多名黑客经过为期三天的测试，发现了1000多个漏洞，活动最终发放的漏洞赏金为190万美元。不出所料，前面提到的6名百万美元白帽黑客也参加了此次比赛。

认识6位百万美元白帽黑客

Santiago Lopez（@try_to_hack）

Santiago Lopez，来自阿根廷的19岁白帽，是HackerOne上第一位赚取赏金数超过100万美元的注册黑客。那他当初有没有想过靠挖洞来赚大钱呢？Santiago Lopez说：“当我入门Hacking领域时，对赚钱完全没有概念，当然，现在觉得自己的努力得到认可，这才是非常自豪的事。”

Santiago Lopez因少年时观看的黑客电影而入门安全行业，在2015年，Lopez注册成为HackerOne白帽，他那时才认为还可以通过利用他自己的技术发现漏洞来赚钱。Lopez透露，他自己完全是自学成才，所有的学习渠道来自互联网、在线课程和看书。

他第一笔漏洞赏金来自2016年，并且只有50美元，当时他才16岁。“当时我花了好长时间才发现了这个漏洞，经过了不停地尝试和测试，最后才成功，但也非常值得。”，Lopez回忆到。

Mark Litchfield（@mlitchfield）

来自英国的Mark Litchfield比Lopez年长很多，他被HackerOne尊称为漏洞众测行业的老兵。Mark Litchfield介绍：“在1999年以前，我在苏格兰一条大街上开了个小店卖电脑，当时经营规模不大，很显然，赚不到什么钱。”，后来，Litchfield经其从事安全工作的兄弟David介绍，学习了一个Windows Server NT4的课程，三天后，他去到了伦敦，开始从事安全工作。

后来，Litchfield和兄弟David成立了一家信息安全公司，专注于发现安全漏洞，公司于2000年被收购，之后，他们又重新成立了另一家安全公司，在2008年又被其它大公司收购了。2013年，Litchfield对渗透测试感兴趣，也为了赚点小钱，于是乎他又投身于漏洞众测行业。

Litchfield总是保持一直向前的姿态，他解释道：“对我来说，这就像是一种挑战，总有一种声音在问我：你能搞定吗？所以，我总会不停尝试，最终也都会成功。”

Tommy DeVoss (@dawgyg)

35岁，来自美国，曾在黑客道路中迷失方向犯下错误，2000年，他因窃取AOL账户用于入侵军方系统而被定罪。出狱之后，DeVoss从一份IT工作做起，慢慢改变了自己，后来他发现，可以通过HackerOn来赚钱且完全合法。在H1-702比赛期间，DeVoss就通过发现漏洞获得了13万美元的赏金。

Ron Chan (@ngalog)

28岁，来自中国香港，他热衷于发现一些复杂的入侵测试技术（big tech），他利用这些大招发现了Airbnb、GitLab、PayPal和Uber的多个严重漏洞。Ron Chan表示，Hacking可以向任何有笔记本电脑和好奇心的人敞开一扇大门。

Ron Chan希望他们6名百万级别白帽的成就，能鼓励其他白帽黑客充分发挥他们的技能，成为白帽社区中坚力量的一部分，共同维护互联网安全。如果如Ron Chan这般优秀，你也可以在2019年7月的一个月时间内，赚到7万5千美金。

Nathaniel Wakelam (@nnwakelam)

24岁，来自澳大利亚，也就是大家熟知的Naffy。据HackerOne透露，Nathaniel呆在一个地方不会超过30天，而目前他经常生活在泰国各地。不做漏洞众测的时间里，Nathaniel会随意地去旅游和参加各种聚会。

Nathaniel在小学时就发现了自己的第一个漏洞，随后又发现了700多个漏洞，这深厚的功底让他一直占据HackerOne排行榜的前三位置。还致力于协助Hackers Helping Hackers 慈善社区，引导有技术能力的年轻人入门从事安全行业。另外，他还在一家名为Gravity的安全咨询公司担任首席信息安全官。

Frans Rosen (@fransrosen)

瑞典人，在漏洞赏金猎人身份之外，他还成功经营着自己的网络安全公司，也在多家安全公司担任CEO、CTO和董事会成员。Frans Rosen始终信奉一个观点：Hacking应该为人类服务，并应该回报黑客社区。因此，他也经常将他的漏洞赏金捐献给慈善行业。

白帽黑客面对的诱惑

从另外一个层面来说，在各种黑产盛行的现在，这6名黑客似乎就是一个例外，他们通过自己的技术和努力合法赚钱，但和那些无视法律且追逐最大化利益的黑客来说，这点收入根本好像也算不上什么。

但HackerOne的Laurie Mercer并不这么认为，他强调：对安全研究人员来说，非法出售漏洞于完全不值得，致富之路在于拥有公众声誉，这样你就可以被邀请参加更多的测试项目，发现更多的漏洞，在做你喜欢的事情之余同时也把钱赚到了，还能维护网络安全，这是多么有意思的事。

被邀请参加更多的测试项目，发现更多的漏洞，在做你喜欢的事情之余同时也把钱赚到了，还能维护网络安全，这是多么有意思的事。

但有一点我们是可以肯定的：这6名白帽是如何最好地利用黑客技术来赚钱的最好榜样。Laurie Mercer声称，“安全专家通过发现漏洞的获利是传统的软件工程师薪资的40多倍，所以，这无疑是一个新行业的诞生：白帽黑客们通过发现漏洞的方式，在维护网络安全的同时，从而获取丰厚的报酬，也就是我们通常所说的漏洞赏金猎人。”## 题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！