對(duì)待榮譽(yù)和金錢的態(tài)度，可能是白帽子黑客和黑帽子黑客的最大區(qū)別。

• 黑帽子在乎實(shí)惠，能夠通過(guò)非法手段搞到錢才是最重要的。至于榮譽(yù)則是避之不及，全世界都不知道他的存在才好。

• 白帽子黑客榮譽(yù)至上，至于金錢，“取之有道”是這一種族的自畫像。

在巨頭林立的IT世界，白帽子的榮譽(yù)有一種標(biāo)準(zhǔn)的格式，那就是巨頭的“致謝”。如微軟、蘋果等都會(huì)對(duì)提交重大漏洞的組織個(gè)人發(fā)布致謝涵，甚至現(xiàn)金獎(jiǎng)勵(lì)。和你想象中不同，這些致謝并不能簡(jiǎn)單地理解為虛名大于實(shí)惠，而是行業(yè)巨擘對(duì)于團(tuán)隊(duì)的光榮加冕。說(shuō)起來(lái)，白帽子和鏢局有很多共同點(diǎn)，那就是對(duì)團(tuán)體的榮譽(yù)背書是重要的無(wú)形資產(chǎn)——跑江湖靠的是江湖喝號(hào)。“你若盛開(kāi)，清風(fēng)自來(lái)”是白帽子的生存模式之一。

在雷鋒網(wǎng)和諸多知名的白帽子團(tuán)隊(duì)掌門人的接觸中，“致謝數(shù)量”是他們“嚴(yán)重”關(guān)心的硬指標(biāo)。

2015呼嘯而過(guò)，各大白帽子黑客團(tuán)隊(duì)的“致謝”KPI都達(dá)標(biāo)了嗎？把各大公司發(fā)出的致謝信搜集起來(lái)，可以輕松盤點(diǎn)出各大團(tuán)隊(duì)今年的“戰(zhàn)績(jī)”。別急，先來(lái)看一張非常值錢的圖表吧，這是漏洞軍火商ZERODIUM為不同產(chǎn)品的漏洞開(kāi)出的價(jià)碼。

【ZERODIUM 發(fā)布的漏洞“牌價(jià)”】

其實(shí)，ZERODIUM為特別的iOS漏洞開(kāi)出的最貴價(jià)碼，比圖表中最貴的漏洞還要貴一倍，達(dá)到了喪心病狂的100萬(wàn)美元，而且據(jù)說(shuō)有人真的拿到了這筆錢。那么，現(xiàn)在就讓我們帶著沉重的心情來(lái)看看這些把漏洞無(wú)私提交給廠商的白帽子究竟損失了多少錢吧。。。

Adobe

Adobe在滲透防御中總是扮演豬隊(duì)友的角色。Flash Player“體質(zhì)虛寒”，但是又被各家平臺(tái)輪番寵幸，所以成為了各路黑客攻擊的突破口。查看“價(jià)目表”，發(fā)現(xiàn) Adobe PDF Reader 和 Flash Player的漏洞都可以買到8萬(wàn)美金，說(shuō)明這些漏洞還是很有價(jià)值的。

【2015  Adobe漏洞致謝榜】

在Adobe戰(zhàn)場(chǎng)的亂斗中，谷歌“0計(jì)劃”當(dāng)仁不讓地抓到了101個(gè)漏洞，穩(wěn)居第一。而國(guó)內(nèi)主要的團(tuán)隊(duì)幾乎全部榜上有名。360以55個(gè)排名并列第二，阿里巴巴和新興安全公司知道創(chuàng)于也榜上有名。值得注意的是，小而美的技術(shù)向團(tuán)隊(duì)Keen Team和誓與AV爭(zhēng)宅男的PKAV團(tuán)隊(duì)也做出了貢獻(xiàn)。

蘋果

【2015  蘋果漏洞致謝榜】

多數(shù)業(yè)界人士都認(rèn)為iOS漏洞是最難挖掘的漏洞種類之一。因?yàn)閕OS用戶手里掌握了大量的金錢和社會(huì)資源，所以每一個(gè)漏洞的爆出都恨不得關(guān)系到世界和平。但從“越獄”這個(gè)巨大而繁榮的產(chǎn)業(yè)上來(lái)看，就可以得知而有關(guān)蘋果的一切漏洞都具有“貴”的特性。從榜單上看，太極團(tuán)隊(duì)和Keen Team 是這個(gè)領(lǐng)域的老兵了，對(duì)于這兩個(gè)團(tuán)隊(duì)來(lái)說(shuō)，蘋果系統(tǒng)的漏洞搜尋是他們壓箱底的絕活。所以拿到好成績(jī)并不讓人意外。

微軟

【2015  微軟漏洞致謝榜】

可以說(shuō)微軟是對(duì)自家漏洞最為“渴望”的公司，為此他們專門成立了漏洞獎(jiǎng)勵(lì)計(jì)劃。一個(gè)名叫 Jason的大胡子每天奔走世界各地用現(xiàn)金“利誘”白帽子們提交漏洞。

【微軟漏洞獎(jiǎng)勵(lì)計(jì)劃負(fù)責(zé)人 Jason Shirk】

雖然微軟在今年大幅提高了其安全性，不過(guò)在公眾心中，“軟柿子”的形象可能還要很長(zhǎng)時(shí)間才能改觀。榜單顯示，360和百度都以26個(gè)漏洞并列第四位。不過(guò)360在Edge漏洞和賞金漏洞方面都有斬獲，而百度在這兩項(xiàng)上收獲為零。

谷歌

【2015  谷歌漏洞致謝榜】

谷歌對(duì)于漏洞也是獎(jiǎng)勵(lì)的態(tài)度，不過(guò)卻在公布漏洞細(xì)節(jié)方面比較保守。實(shí)際上，在今年下半年他們才開(kāi)始公布漏洞的具體細(xì)節(jié)。在這一個(gè)榜單中，360終于替中國(guó)公司拿到了榜首的位置。

【找到漏洞最多的白帽子團(tuán)隊(duì)Top 10】

綜合四大公司的漏洞來(lái)看，谷歌0計(jì)劃當(dāng)仁不讓拿下了漏洞王稱號(hào)，這也是對(duì)硅谷極客們實(shí)至名歸的獎(jiǎng)賞。而排名第二的ZDI主要靠收購(gòu)漏洞上榜，勝之不武。讓心欣喜的是，第三名的位置被360拿下，這和2015年360祭出了旗下幾個(gè)如涅槃、伏爾甘等大牛云集的重磅團(tuán)隊(duì)是分不開(kāi)的。這些大牛不僅給中國(guó)的團(tuán)隊(duì)爭(zhēng)光，也算沒(méi)有辜負(fù)老周這么多年死磕打安全牌的苦心。百度名列第六，說(shuō)明其在安全方面也下了很大的功夫，這和2015年百度在全球延攬安全人才的舉動(dòng)是分不開(kāi)的。作為一個(gè)以漏洞為標(biāo)簽的安全團(tuán)隊(duì) Keen Team，拿到第九位的名次，值得業(yè)內(nèi)贊賞，這也是對(duì)他們專業(yè)精神的一種鼓舞。

單單看微軟、谷歌、蘋果、Adobe這“四大天王”的Top10排行，就有800+漏洞被爆出，權(quán)且按照1萬(wàn)美金一個(gè)漏洞的價(jià)格來(lái)算，這些漏洞就值800萬(wàn)美金。把如此價(jià)值連城的漏洞無(wú)償或低價(jià)奉獻(xiàn)給企業(yè)，白帽子果然值得讓人尊敬啊。

還有三天，這些戰(zhàn)績(jī)就要清零。而2016年的第一個(gè)漏洞獎(jiǎng)勵(lì)，會(huì)花落誰(shuí)家呢？這個(gè)并不安全的世界還真是讓人期待呢。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。