揭秘滴滴安全DSRC榜首白帽駭客“土夫子”

　　中國青年網8月25日北京消息 “土夫子”不會寫代碼，但這不妨礙他成為白帽駭客，擁有8年運維根基的他，特別擅長挖邏輯漏洞。截止8月24日，他總計向滴滴DSRC提交20個漏洞，累計積分高達11652，高居榮譽排行榜首。近日，這位神秘的白帽駭客對外講述了如何成為滴滴安全榮譽榜首第一的背後故事。

　　和慣常的經歷不同，“土夫子”高二便輟學，到北京後曾輾轉于各類網際網路公司工作，包括上市公司、創業公司等。剛接觸安全時他還沉浸在《盜墓筆記》裏，於是有了“土夫子”這個ID，通過自學，土夫子每天分析10-40個漏洞進行歸納總結，積累了挖漏洞的技能，如今的他一邊工作一邊兼職做白帽。

　　一年前，土夫子開始了對滴滴的持續“關注”，那時候滴滴安全剛起步。“我有個朋友，業餘時間挖漏洞很厲害，受他影響，我也開始鑽研漏洞。運維出身學習安全知識，既是為了自我發展，也是興趣驅動，正好滴滴安全起步，於是我開始專挖滴滴漏洞，沒想到拿了第一名。”

　　漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。這也是所有科技公司都要面臨的問題，很多科技公司甚至懸賞高價鼓勵白帽駭客提交漏洞，而金錢之外，他們更視挖到漏洞為榮耀，他們在這樣的工作中找尋到成就感。

　　為了挖一個漏洞，土夫子經常對著顯示屏一坐就是6、7個小時，最嚴重的時候得了眼病，去醫院開了瓶眼藥水，繼續挖漏洞，而為了做漏洞測試，因為取消訂單太頻繁，土夫子三個手機號被封。

　　“有一次，週五提交了漏洞，與滴滴的安全工程師研究了一晚上沒有復現問題，為了復現漏洞，週六在家陪著安全工程師加班，我們兩人電話交流，研究一天，終於復現問題。”土夫子説。

　　對於白帽駭客而言，最大的認可莫過於最迅速的回應，“有一次，我在夜裏12點提交一個漏洞，滴滴安全這邊竟然立即響應了。”

　　此外，土夫子稱：“DSRC是我見過最厚道的SRC，曾經提交一個漏洞，自評為高危，但滴滴安全工程師審核後打到了嚴重級別，評分非常厚道。”

　　所有這些努力沒有白費，土夫子獲得滴滴安全榮譽榜排行榜第一名，也獲得了高額的獎勵。同時，他也呼籲白帽駭客：“要多動手，不要做破壞，注意保護公司資訊安全，驗證漏洞點到為止，不要放shell和拖庫。”

　　據悉，滴滴出行安全應急響應中心（簡稱DSRC）于去年2015年11月上線，目前擁有“提交漏洞”、“公告”、“禮品商城”、“個人中心“四大版塊。如果用戶發現滴滴出行産品和業務的安全漏洞，可註冊訪問滴滴出行安全應急響應中心(sec.didichuxing.com)參與漏洞提交。

　　相關負責人表示，該平臺旨在集合安全領域的專家、白帽子、社會團體及個人共同發現潛在的漏洞資訊，並依此建立漏洞統計分析中心，預知並自查風險，及時修復漏洞，幫助提升自身産品的安全性，同時為用戶營造一個更安全的網際網路出行生態圈。