用户
搜索
  • TA的每日心情
    开心
    2017-5-1 18:59
  • 签到天数: 72 天

    连续签到: 1 天

    [LV.6]常住居民II

    管理员

    六国战旗移动展示平台!

    Rank: 9Rank: 9Rank: 9

    203

    主题

    3562

    帖子

    1万

    魔法币
    收听
    52
    粉丝
    75
    注册时间
    2015-1-1

    秦楚燕魏齐赵

    yyyxy 管理员 六国战旗移动展示平台! 秦 楚 燕 魏 齐 赵 楼主
    发表于 2017-5-25 14:52:30 4922467
    奖励名单公布:

    地表最佳回答奖励:夏之冰雪 奖品:200元京东卡

    最不一样的角度:细心 奖品:宜人贷超帅帽衫一件

    最优质回答奖【奖品京东卡100元】:
    • xiaoye
    • penguin_wwy
    • 玄道

    用心回帖奖:30泉
    • sn0w
    • z7788520
    • 独狼1927
    • 神裤衩
    • 黑客小平哥
    • yangwen
    • ohlinge
    • 黑色镰刀
    • snsky
    • 酷帥王子

    奖品会在3个工作日内发放给大家,请大家注意接收消息。





    网络安全法将在六一正式实施,我该如何继续爱你?

    《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,现予公布,自2017年6月1日起施行。

    六一这个日子实施也是蛮有趣的,对于白帽子来说,国家这次就是正式告诉你什么该做,什么不该做。知法守法是每个公民的义务没错,但是我们更应该知晓如何在法律下最大程度的保障自己的利益!

    我们将列出几个不同维度的问题,邀请大家从各自不同的角度和视野来谈谈你们的看法!

    为了回馈大家在i春秋社区讨论区的贡献,我们特别准备了一些礼物,送给在本帖下回答最优秀的你们【仅限白帽子!机构、平台不参与本次活动奖励】

    奖品如下:
    • 地表最佳回答奖励:200元京东卡【1个名额】
    • 最不一样的角度:宜人贷超帅帽衫一件【1个名额,给你反季节的礼物】
    • 最优质回答奖:京东卡100元【3个名额】
    • 用心回帖奖:30泉【10个名额】

    活动时间:5月25日—6月4日【中奖名单会在结束后公布】

    问题如下【任选一个角度回答即可】:

    一、律师专业角度:
    请您从专业角度谈谈此次即将发布的网络安全法对比上一版安全法,有哪些不同之处,有哪些地方是需要我们重视的地方?
    此外,您认为白帽子们应该如何正确的保护自身的权益不受侵害呢?

    二、应急响应中心的角度:
    请您代表您所在的平台发表此次看法,作为应急响应中心,在本次法规实施后将会作出什么调整和规则上的改变吗,如何去进一步保障白帽子们的安全和权益呢?

    三、安全企业员工角度:
    请您谈谈本次网络安全法正式实施后,将会对您所在公司的业务或您本人的工作造成哪些影响,您又会如何去调整改变去适应新的法规?

    四、白帽黑客的角度:
    请您以白帽子的身份谈谈本次网络安全法正式实施后对您的影响,以及您对它的看法。您将会如何调整未来的挖洞计划?

    大家任选一个角度进行回复即可,回复格式如下:
    我以XX的角度来说说自己的看法:
    内容。。。【此处省略不知道多少字】

    PS:如需要回帖加图片,可点击回复框右上角的高级模式进行编辑!


    本活动最终解释权归属i春秋!


    等等,你以为这就结束了?
    接下来才是最重要的广告时间好吗!

    所谓专业的事情交给专业的人来做,这么大的事儿我们当然得邀请最权威的专家来咱们i春秋开课。
    必!须!期!待!

    接下来是老师及课程介绍咯,瞅瞅:
    课程名称:《网络安全法》树立全方位的安全观

    讲课老师:权威专家“吴沈括”老师
    • 北京师范大学副教授、硕士生导师
    • 中国互联网协会研究中心秘书长
    • 最高人民法院咨询监督专家
    • 联合国网络安全与网络犯罪问题高级顾问

    课程介绍:

    在本课程中,吴沈括老师通过讲解网络安全治理的政策战略,法律规范,其他规范三个方面的知识为我们树立了全方位的安全观。在这之中,吴沈括老师更结合了网络安全法的详细法律条目讲解了网络安全法中最重要的两个方面,网络运行安全和网络信息安全,这对我们理解网络安全法有着至关重要的作用。

    课程中也重点提到了“白帽”黑客是网络安全保护的重要力量,但同时也可能对网络安全造成一定的威胁,白帽黑客的双重属性让企业和网络安全管理部门对他们的感情十分复杂。“白帽”黑客与网络漏洞的法律边界在哪里?未来对“白帽”黑客和网络漏洞的治理应该按照怎样的原则开展?听吴沈括老师给我们讲解“白帽”黑客不能逾越的红线!

    课程上线时间:六月一号!【赶趟着和网络安全法一起上】

    欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!投稿请加我QQ:286894635。
    i春秋-楚:533191896
    i春秋-燕:129821314
    i春秋-齐:417360103
    i春秋-秦:262108018
    发表于 2017-6-1 15:20:45
    《网络安全法》明确了各个网络行为主体的权利和义务,也让越来越多的公众了解到网络安全和遵守法律行为的重要性。百度安全应急响应中心是连接企业与白帽子沟通互动的桥梁, 旨在共同推动网络更加安全有序。为此,BSRC对规则进行了部分调整:
    1. 网络安全法规定行为主体的实名制原则。为此,BSRC引导白帽子用户尽快完成实名认证,并且将在6月全部完成白帽子的手机绑定、实名认证工作。
    2. BSRC四月上线了新版的《百度安全应急响应中心漏洞处理细节》,其中明确了符合网络安全法规定的白帽子渗透测试行为边界。比如规定在漏洞测试过程中,对于恶意拖取数据等越界行为,BSRC将做出漏洞均0分处理,并且有法定义务配合刑事侦查机关提供相关证据,这同时也是对白帽子的双向保护。
    3. 在明确白帽子行为边界,保护网络安全的同时,BSRC还通过分级分类策略对平台白帽子的隐私信息保护进行加固升级,以保护平台白帽子的合法权益,以及隐私不受非法侵害。
    网络安全法的实施,标志着中国的网络安全向前迈进了一大步。在这个里程碑意义的节点上,BSRC会一如既往地肩负使命,营造企业与白帽子之间良性的互动环境,倡导合法的网络安全行为,共同维护网络正义的力量。

    使用道具 举报 回复
    发表于 2017-6-5 11:31:12
    在ASRC上线了新的用户协议之后,CTO把ASRC的公众号文章转发给了我,然后我们立马跟进做了更(抄)新(袭),后面第一次提交的白帽子都需要同意该协议才能继续。

    说白了就是各个公司的底线,比如一个SQL注入,你是只判断可能存在,还是手动跑出来表名,还是sqlmap进表里捞出来数据登个后台啥的。不同的公司安全团队的底线是不一样的,白帽子得拿捏好尺度。

    站在甲方的立场,点到为止就行了,白帽个人的横向的渗透行为是非常忌讳和不受安全团队欢迎的。按实际影响来评分,不是说你觉得再进一步可以多拿些奖励就可以再进一步的,在沟通之后,厂商授权你能进行更深入的测试才可以。

    通用的来说,测试漏洞不能造成业务中断,不能影响到大批量的其他用户,比如一个越权取消订单,你burp遍历下用户ID,结果影响到业务正常运营,那就过线了。涉及到用户信息的漏洞要格外注意,点到为止,点到为止。
    使用道具 举报 回复
    发表于 2017-6-3 14:05:21
    我以白帽黑客的角度:进行一下吹牛!如果有不周的地方,请大佬多多海涵!如果有风险语言,请“坏蛋”予以删除!

    首先,恭喜“网络安全法”终于实施了,希望他可以真的如同理想中那样可以有效的打击,和遏制不法分子。还人民群众一个安全平和的网络空间!
    同时对,网络国家主权予以维护!

    作为一个路人,我希望他可以有效的打击诈骗犯罪,因为他的危害触目惊心,比如:大家都知道的因诈骗“女大学生之死”,在“吴沈括”老师的讲座中,也有提到。
    从这个诈骗,可以看出信息泄露的危害,已及不法分子的利用造成的巨大危害!以及我国普通公民在新的“网络空间”下的安全意识薄弱。自我防范策略较少,以及“相对于”社会,or“学校”“媒体”“政府”在安全教育意义上的缺失。未能让一心只读“圣贤书”的人,有自我安全防范意识,从而造成了,这么严重的后果.
    辛好:我们的政府已经意识到了这个问题,相对而言出台了“网络安全法”,这样就真的可以了吗??(我要打一个大问号)
    因为他真的可以管住那些为了利益,而铤而走险的人吗?
    所以我们要加强:公民在信息泄露或者已经利用中的,安全防范意识,提高自我保护能力,以及社会,学校,多种监护机制提高,风险意识。
    媒体要多去推广“正能量”,防范小技巧。
    这里,我来做一个举列(不知道恰当吗):假如,我们的学校有针对比如各种“助学金”以及其他活动的官方,联系,或者反向的验证机制。比如我接到了学校说:我有一笔“助学金”需要如何取,我可不可以,有官方的“在法定工作日”内的日子里,联系学校。去确定这个事情,有没有,他的负责人是谁。具体流程有是什么。而不是“傲慢的”找不到人,或者给人“官大一级”,其实“骗子”正是利用了“官大一级”才可以得手的。。
    这里我说一个我身边的事,其实去年在“I春秋”也说过。
    就是和小伙伴在一起,他突然接到了,一个“警察局”的电话,说他信用卡什么问题,等等,说什么“私了”和“公了”等。我在边上一听就是是“骗子”,我说你不要理他。“骗子”听见边上有人,就让他找个“安全没人的地方”我也是醉了,他就去了。拉不住。不过人有钱,就花点钱去吧。。。。
    中间过程,太离奇了。不想多说了。我最后结果,就是告诉他,你信“110”吗。你现在打110,看110咋说。一打人家说,你遇到了“骗子”不用理他,他还问其他的(不信110)。。。其实我想说“你真有问题,警察叔叔打电话找你。。。。直接就给你拷上了”。
    从中我们也可以看出,媒体,电视,的宣传是多么的有必要,如果有这些正能量的宣传,在遇到这些问题的时候,他就会多想一个“为什么”就不至于那么二了。。
    当然了,未来不排除“诈骗和木马”相结合的案例,比如你想反向验证,结果手机被控制了。直接有打给了“骗子”你看到的还是正常的。比如电脑案例“吴沈括老师”说的“震网”病毒那样的。。。
    所以,套路在继续,不能因为出台了一步“网络安全法”大家就以为万事大吉了。

    基于有人说:黑产会绝迹,我只能(呵呵),先举个都知道的东西“毒品”我国古代,有著名的“林则徐虎门销烟”,现代也是个重罪。还是有那么多人在做,他的群体也是那么多“包括所谓的那些“明星”某某艺人”等。。
    你能说黑产会绝迹吗?没有买卖就没有杀害。只能说他们的手法会越来越隐蔽,套路会越来月深沉。目标会越来越清晰。国内外的勾结或许会成为“明日主流”,值得庆幸的是我国“网络安全法”对次做出了一些,明文规定,在“吴沈括老师”的课中,也有提到,就是通过公安部等个部门协作对,对方设施,银行冻结,等一些方法。
    从中也可以看出,国家对于打击境外犯罪的力度。现在我国也可以去境外把你抓回来。。。。前不久不是从国外,抓回来很多吗?
    当然对于政府网站,或者企业运营者,是不是感觉,可以踏实睡觉了!
    其实不然,新的“网络安全法”中有提到你们每年最少要做一次安全评估,上报主管部门。
    我个人感觉好鸡肋啊!你去看看“CVND”“CVE”每天或者说,每个月都会有洞洞爆出,国内“CVND”以后不知道咋样,但是“CVE”还是会和以前一样。。
    但是新法去要求你们有“应急响应机制”已经在发生事件后要向上级主管,报告,有些还要像“社会公布”,假如你不执行,或者造成“重大影响”不好意思,罚款,都是小事情,弄不好,还要去见识一下“刑法”66666,突然感觉好高大上。
    比如前一段的“NSA”事件,或者说“勒索者病毒”一旦你的服务器,没有,有效的升级,或者“应急处理”,造成“严重危害”那么你们单位,包括“主管”,已及其他责任人,有可能会被点名的。。。
    从中可以看出,“网络安全法”对于运营者,做出了,比较积极,或者被动让他们去维护,自己的“服务器”。

    还有人说,“网络安全法”以后交流的圈子会越来越少,其实我认为不尽然,在国家的未来人才储备这方面还是做出了。一些规定的,比如说“大学,职业院校,或者其他的安全培训机构(比如I春秋)”这样的平台机构,还会在也会发扬光大,因为国家知道人才的重要性。
    只能说,以非法目的,违背国家“网络安全法”的交流,会在明面上被封杀,情节严重的会有“刑法”招呼你。。。其他的一切照旧。虽然我还没有从中很明白的判断出。具体的分界线。但是其明确说明了,以安全“培训”或者说后备的人才储备。就可以说,他还是支持,交流。学习的。。
    你不能说不让“信安专业”的讨论“测试渗透”,那不就和不让“军队”“讨论打胜仗”一样了吗?
    “习主席”都说了要能打胜仗!作风优良!
    你怕啥!!!
    最后我们讨论一个关乎“白帽子”,或者说“良心白帽子”的问题。就是我们还可以愉快的测试吗?
    这里就要分“授权”和“非授权”的测试。
    还有就是提交方式的问题“漏洞平台(第3方)”和“src(企业自己)”。
    这里面就有有套路了。
    当然有“授权”当然是最好的。但是对于“授权合同”也要查看仔细,或者说最好有“律师”可以指导一下。为什么那?因为“套路”!
    这样就提高了,测试的门槛,一般也只有“安全团队”或者公司可以做到。所以也避免了,小白乱扫。同时也提高了测试的成本!
    当然对于“非授权”测试,那就是套路更深了。。
    小伙伴们,要尽量的避免产生影响其运行,或者造成其数据,业务损坏,拖去数据库。等等,因为在法律上会牵扯“刑法”问题!
    这里其实就不是说你是不是“白帽子”的问题了。而是你测试的“企业”在你没有“出售倒卖数据之类”情况下,他原不原谅你测试他的,问题,如果他咬你“你只能自认倒霉(就现阶段)”,虽然“企业”这么做,会把他置于“风险之中”把他的客户置于“风险之中”,但是人家乐意。只是苦了“老百姓”。

    不过有能力的话。未来法律不知道会不会,有修正案,你也可以告他,在现阶段“网络安全法”中,有对单位运营者的,要求。和处理意见。你看看可以用吗?
    这是“狮子”和“绵羊”的故事!

    基于授权,或者说“src”,很大一部分,是边界,问题,以及信任问题。或者简单的人心问题!如果企业要套路你的话。这是个很大的问题!!!

    比如:某婚恋网事件,基于事实的真相是什么?作为小白的我,不知道。但是,假如,他真的是处理了,数据,请在法庭上“控诉人”and“检方”可以提供“详细的交易,以及数据的运用”资料,这个在调查取证中,应该是可以做到的。作为检方“证据”也好让大家“看到明白”知道他,做了不该做的。。
    假如,他没有做到,只是被“套路”希望,在以后的“网络安全法”中,可以保护白帽子的一个安全吧!
    至于那些喜欢套路的企业,你只是把“人民的利益”放在了一边。你会有一天,吃到自己“酿的苦果”,因为全球的互联网,是互联互通的。会有“高人”的。。。也会有“不在信任你的用户”。
    就目前世界事件来看,出了“NSA”or“勒索者”,我想“某国”政府更想抓住“那些泄密者”。。。。
    还有“吴沈括”老师:课程里面说的“大选”事件,都说明了,互联网的匿名性,以及安全的重要性。
    所以更需要更多的“白帽子”or“更多热爱安全的人士”来维护。
    因为形形色色的人。各种组织,所以,对于企业或者机构平台,你们更要善待“这些白帽子”。因为假如你有一天,把愿意守护你的人,都得罪了。杀光了。那么,危险来临的时候,谁来守护你?

    好像上面说了,和没说一样,感觉。。。

    不过,我相信未来,我们国家的“网络安全法”一定会对“白帽子”这个特殊的“群体”进行关注,和保护。
    尤其是在“习主席”把网络安全提到“国家战略”层次!
    所以更需要爱好“和平”的人维护,保护他。
    就相对于有一天“战争”突然来临,不可能是,只是军队的事!

    好了,到这吧!我忠于“祖国”忠于‘祖国:土地,海洋’
    最后推荐:“吴沈括老师”
    https://www.ichunqiu.com/course/58345
    “庞丽老师”
    https://www.ichunqiu.com/course/57699
    课程!
    同时@坏蛋,哪里有问题,你就给修理一下。。。。
    [命运,是自己拼出来的!/color]
    使用道具 举报 回复
    发表于 2017-5-29 23:20:20
    去年一年可以说中国网络安全最为重视的一年,2016安全圈各类事件频发, 从山东准大学生被骗猝死,到清华大学教授被骗巨款1760万元,公民个人信息泄露再次成为舆论焦点。而且近几年公安机关对倒卖个人信息的案件打击力度特别大,虽然起到了部分震慑的作用,但是近些年来个人信息的数量还是惊人!个人信息泄漏的部分途经如下:快递单酒店住宿、各类学校注册信息(高考、公务员考试)、各类网站论坛会员个人信息等。在即将颁布的网络安全法中第四十一、四十二、四十三、四十四、四十五、六十四等中明确要求了网络运营者对于个人信息的收集、存储、使用等方面要注意的问题。附一张安全客整理的信息泄漏事件
    20161222091438413.png


    以下信息摘录自百度百科:
    原文连接:百度百科

    《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。《网络安全法》将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障。本法在以下几个方面值得特别关注:
    一、《网络安全法》的基本原则
    第一,网络空间主权原则。《网络安全法》第1条“立法目的”开宗明义,明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。习近平总书记指出,《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,其原则和精神也应该适用于网络空间。各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利应当得到尊重。第2条明确规定《网络安全法》适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。
    第二,网络安全与信息化发展并重原则。习近平总书记指出,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。《网络安全法》第3条明确规定,国家坚持网络安全与信息化并重,遵循积极利用、科学发展、依法管理、确保安全的方针;既要推进网络基础设施建设,鼓励网络技术创新和应用,又要建立健全网络安全保障体系,提高网络安全保护能力,做到“双轮驱动、两翼齐飞”。
    第三,共同治理原则。网络空间安全仅仅依靠政府是无法实现的,需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。《网络安全法》坚持共同治理原则,要求采取措施鼓励全社会共同参与,政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。
    二、《网络安全法》提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全政策的透明度
    《网络安全法》第4条明确提出了我国网络安全战略的主要内容,即:明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。第7条明确规定,我国致力于“推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。”这是我国第一次通过国家法律的形式向世界宣示网络空间治理目标,明确表达了我国的网络空间治理诉求。上述规定提高了我国网络治理公共政策的透明度,与我国的网络大国地位相称,有利于提升我国对网络空间的国际话语权和规则制定权,促成网络空间国际规则的出台。
    三、《网络安全法》进一步明确了政府各部门的职责权限,完善了网络安全监管体制
    《网络安全法》将现行有效的网络安全监管体制法制化,明确了网信部门与其他相关网络监管部门的职责分工。第8条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。这种“1+X”的监管体制,符合当前互联网与现实社会全面融合的特点和我国监管需要。
    四、《网络安全法》强化了网络运行安全,重点保护关键信息基础设施
    《网络安全法》第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。为此,《网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。
    五、《网络安全法》完善了网络安全义务和责任,加大了违法惩处力度
    《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面,对网络运营者等主体的法律义务和责任做了全面规定,包括守法义务,遵守社会公德、商业道德义务,诚实信用义务,网络安全保护义务,接受监督义务,承担社会责任等,并在“网络运行安全”、“网络信息安全”、“监测预警与应急处置”等章节中进一步明确、细化。在“法律责任”中则提高了违法行为的处罚标准,加大了处罚力度,有利于保障《网络安全法》的实施。
    六、《网络安全法》将监测预警与应急处置措施制度化、法制化
    《网络安全法》第五章将监测预警与应急处置工作制度化、法制化,明确国家建立网络安全监测预警和信息通报制度,建立网络安全风险评估和应急工作机制,制定网络安全事件应急预案并定期演练。这为建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制提供了法律依据,为深化网络安全防护体系,实现全天候全方位感知网络安全态势提供了法律保障






    不可告人的秘密:ixuehua.blog.163.com


    -
    <script>alert(/xxx/)<script>
    使用道具 举报 回复
    yyyxy 管理员 六国战旗移动展示平台! 秦 楚 燕 魏 齐 赵
    推荐
    发表于 2017-5-25 15:06:17
    以下内容受庞丽老师委托代为回复!

    庞丽老师个人简介:北京大学法学学士,就职于北京济和律师事务所,有多年国有企业、互联网行业等领域的从业经验。

    在i春秋的课程:
    课程名称:《网络安全法》重点法条解读及相关案例分析
    传送门:https://www.ichunqiu.com/course/57699

    我就从律师的专业角度谈谈我的看法吧:
    一、请您从专业角度谈谈此次即将发布的网络安全法对比上一版安全法,有哪些不同之处,有哪些地方是需要我们重视的地方?

    《网络安全法》经过三次审议,将于2017年6月1日施行。三审稿相比二审稿主要增加了以下几个方面内容(黑体字为三审稿增加部分):

    1、进一步界定关键信息基础设施范围
    第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

    相比二审,明确关键信息基础设施涉及的主要行业和领域,进一步界定关键信息基础设施的范围。被列举行业的网络运营者要履行更加严格的安全保护义务,同时要遵守第21条和34条的规定。

    2、增加惩治攻击破坏我国关键信息基础设施的境外组织和个人的规定
    第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
    对关键信息基础设施的突出保护是我国国家主权在网络空间的体现、延伸和反映。

    3、增加惩治网络诈骗等新型网络违法犯罪活动的规定
    第四十六条 任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

    相比二审,三审稿回应了对当前网络诈骗特别是新型网络违法犯罪呈多发态势,广大人民群众迫切希望加大惩治力度的要求。同时,要求网络经营者对相关违法信息的消除义务(第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。)。

    4、加强网络安全人才培养、保护未成年人上网安全
    第三条 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。

    第十三条 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。

    第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

    国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

    第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
    (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
    (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
    (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
    (四)采取数据分类、重要数据备份和加密等措施;
    (五)法律、行政法规规定的其他义务。

    相比二审,进一步充实推进网络互联互通、培养网络安全人才等内容,促进网络安全标准化建设。

    二、您认为白帽子们应该如何正确的保护自身的权益不受侵害呢?
    《网络安全法》对网络安全从业人员提供了一定法律保障,但具体的权利与义务承担的规定还不够细化。现阶段,白帽子在进行网络漏洞测试时还需要注意以下几点:

    1、取得被测试企业的授权并在授权范围内进行检测
    《网络安全法》第27条明确要求,任何单位和个人进行检测和风险评估时必须取得被测试网络运营者的授权同意,否则为非法行为,除面临承担法律责任外,还将受到从事网络安全工作的限制(第63条):“受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。”对白帽子的职业发展产生重大影响。

    2、白帽子要全面掌握测试软件的功能
    白帽子对测试使用的软件功能要有充分了解及掌握,避免在对测试软件性能不了解的情况下使用,导致测试超出授权范围,轻则面临行政处罚,重则面临承担非法获取计算机信息系统数据罪和侵犯公民个人信息罪的刑事责任。

    3、白帽子最好依托网络安全平台进行漏洞测试及漏洞的提交
    《网络安全法》规定了网络安全等级保护制度。企业有义务及时发现并处置网络安全风险。

    白帽子依托网络安全平台,在授权范围内进行网络漏洞检测、评估及提交。一定程度上可以避免白帽子因直接向企业测试并提交漏洞时不慎触碰法律红线而被企业追责的法律风险。

    企业通过网络平台发现漏洞,在一定时限或者一定技术水平层次上,白帽子通过平台的沟通机制把漏洞提出来。既保护企业的隐私,又有效提醒企业及时修正。


    感谢大家阅读!

    评分

    参与人数 1魔法币 +1 收起 理由
    l春秋 + 1 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!投稿请加我QQ:286894635。
    i春秋-楚:533191896
    i春秋-燕:129821314
    i春秋-齐:417360103
    i春秋-秦:262108018
    使用道具 举报 回复
    发表于 2017-5-25 15:17:11
    本帖最后由 xiaoye 于 2017-5-25 15:22 编辑

    我以白帽黑客的角度说说自己的看法:
    本次话题就从一个懂点法律的白帽黑客角度来回答问题。白帽又懂法,走遍天下也不怕233
    haha.png
    这次活动,不管从那个角度来谈,我们都很有必要读懂这份安全法,只有读懂了安全法我们才能在法律允许的范围内作为白帽黑客为信息安全贡献自己的力量:

    第一条  为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
    第三条  国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。”

    毫无疑问,这两条就是本次法律制定的目的,没毛病,网络空间安全已经备受重视,这对于网络攻击的重灾区中国是一大喜讯~也是我们白帽黑客的奋斗目标--“建立健全网络安全保障体系,提高网络安全保护能力。


    从白帽黑客角度看法律:
    1.维护个人信息安全,防范信息泄露,从源头做起
    “网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
    第四十二条  网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。
    第四十四条  任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

    发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息”

    毫无疑问,国家已经重视了网络安全,并且相当关注应急响应的实施情况,这对于普通公民和白帽黑客来说都是非常希望看到的。应急响应措施采取的当,就会大幅度降低损失。往小里说,对于我们白帽黑客,提交的漏洞被快速审核也是很开心的233~~,往大里说,比如这次的永恒之蓝事件,虽然各大安全公司和国家努力在做应急响应,但是措施如果再快些,就不会发生如此大规模的爆发,公民的财产损失也将大幅度降低~



    本次法律出台,一个最重要的点就是“重拳出击打击黑产”:
    第六十三条  违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;
    违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。”

    黑产的小伙伴们形式很严峻啊,处罚力度相当大啊,尚不构成犯罪的就并处违法所得一倍以上十倍以下罚款了,赔个底朝天。。
    没有买卖就没有杀害,黑色产业链中的提供者和获取者在这次法律的实施中势必均会被遏制~


    但是,请注意,是不是不从事黑产的白帽黑客就安全了呢?错,大错特错,网络安全法像是一枚导弹,威力巨大,但是也很容易“误伤”了一些无辜的白帽黑客。

    且看下面的条例:
    “提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广”
    显然,白帽黑客也很容易被“误伤”,因为我们本身就游走在法律“边缘”,在座各位有谁没有挖掘过未授权厂商的漏洞呢?又有谁没有提供或者接受过“黑客工具”或者xx工具包呢?或者别人询问一些实战中的技术问题时提供帮助?

    其次,挖掘漏洞时的度是很不容易把握的,力度小了吧人家不以为意,力度大了厂商还有可能盯上你(就好比注入,不查个库和表不知道有多少数据,查了又可能会有麻烦,dump就不要谈了,电脑里面存那么多个人数据犯法无疑,已经违反了“窃取或者以其他非法方式获取
    他人提供个人信息”这一条例)。


    所以就算我们不搞黑产,也一定要做好措施来保护自己,不能被网络安全法“误伤”,明明是白帽子却被定了黑帽子的罪

    保护自己 合法挖洞:
    1.尽量做授权的漏洞,有合同最好
    2.漏洞提交到正规平台,在测试时要做到不做黑产、不碰数据、不做破坏、不影响检测目标的正常运营
    3.漏洞挖掘时,“度”的问题一定要注意,getshell就不要想了、注入最多跑个库名就好不要跑出字段具体的值等等......总之,在能证实漏洞危害的最小检测范围内活动就是我们白帽黑客以后的宗旨。
    普通公民要读懂此法,谨慎妥善地对待自己的个人信息;我们白帽子更要读懂此法,维护网络安全的同时,也要保护自己。
    维护信息安全,从你我做起。

    评分

    参与人数 3魔法币 +27 收起 理由
    爱钱的小耗子 + 2
    春秋文阁负责人 + 20 666
    子不语_src + 5 我支持我小叶姐姐

    查看全部评分

    http://blog.163.com/sy_butian/欢迎交流
    使用道具 举报 回复
    从安全企业从业人员。。。等等,我们公司是做软件保护的,好像和我们没啥关系。。
    话题终结
    你仿佛在逗我笑.JPG
    当然这只是开个玩笑,下面好好回答。


    首先不知道大家政治学的怎么样。我们经常听到哪里总统大选,某候选人的基本盘怎么怎么样。意思是从某政治组织的某项政策、政治主张中获利从而成为其坚定支持者。那么国家的基本盘是啥呢?就是你们的父母、叔叔,包括某些大龄朋友(比如坏蛋?),那些三十四十岁,在工作一线进行生产劳动的劳动者。这些人,拥有最大的劳动力,创造了国家最多的财富。同时上奉双亲,下育儿女,是消费的主力。总之,劳动者的稳定代表着国家的稳定。在古代由于商品经济不发达,所以国家基本盘一般都是农民。和平年代,农民生活还过的去,凡是造反的一般都挂了,比如吴楚七国之乱。基本盘都不支持你,玩个锤子;反过来比如明末农民起义,就是从基本盘崩盘,农民活不下去开始的。
    zb.JPG
    综上,装逼所述,网络安全法的出台其实从侧面表明,网络安全已经影响到了国家的基本盘。其实也很好理解,过去几年流量为王的移动互联网把成千上万的人纳入到网络中。习大大说过,没有网络安全就没有国家安全。前不久永恒之蓝连我妈都知道了,说明互联网已深入到生活的方方面面。
    内在逻辑就是:大量人口进入互联网 ——> 安全问题日趋严重 ——> 影响人民生活 ——> 制度保护
    那么对于我们来说这意味着什么呢?庸俗点讲就是——钱,没错我就是这么庸俗。不知道大家知不知道长尾理论,简单讲就是人很多,所以不管什么东西都能卖出去。过去,我们说安全产品,提到安全行业,都是甲方怎么怎么吃香,乙方多么苦逼。为什么?因为那时候没有安全问题吗?不是。因为市场还不够大,人还不够多。每个客户都是VIP。你干的当然苦逼,费力不讨好。现在呢,市场觉醒了,大家都意识到了安全问题了。所以,网络安全法的颁布,其实是吹响了安全市场开始膨胀的号角,钱途光明啊,同学们(敲黑板,画重点)。
    那是不是所有人都能赚到钱呢?当然不是,比如你要是进去了,那肯定就赚不到了。我上面装的逼是想说——因果因果,网络安全法是果,不是因。就算没有网络安全法也会有计算机安全法,因为已经发展到了这个地步了。所以那些担心的同学其实不必担心,网络安全法是市场发展的结果之一,我们应该看到未来会越来越好。
    回到政治课堂,下一个要说的问题是——法律的滞后性。大家普遍反应根据网路安全法以后再群里不能交流技术,不能随意挖洞等等问题。一部法律从调研、提出、通过要经过一个漫长的时间,这是没办法的。同时,我们说法律要维护基本盘的稳定。而从普遍情况看,大众对于安全的认识还是很少的。比如之前的阿里月饼,只有技术人员聚集的地方,才会觉得做的过分了。再比如Pwn2Own大赛的时候,知乎上有人就有人对腾讯养了那么多二进制安全队伍的动机表示怀疑(其实就是喷)。还有长亭破解PS4的时候喷长亭攻击别人,喷安全圈包庇黑客。。。。
    th.jpg
    大众对于漏洞、脚本、安全并没有非常清楚的认识。如果网络安全法写成:为了提高安全质量,鼓励白帽子对网站进行渗透,那普通人可能会觉得不可思议,法律的推行必然受阻。
    说来说去,首先大家要有信心,未来钱途无量,这是肯定的。其次,问心无愧,远离黑产,并且积极推动安全教育。大众的安全意识提高,对于安全技术的认知越正确,白帽子的生存土壤才能越好。再然后耐心等待法律的完善,这将是一个漫长的过程。
    最后给各大SRC一个小建议,在研究网络安全法的同时,可以推出自己的一套规定,稍微比网络安全法严苛一点。这样白帽子们只要遵守了平台的规定就肯定不会出问题。出现越界情况也可以及时止损,避免无意识的犯罪发生。
    好了,就酱。

    请叫我加固工程师
    使用道具 举报 回复
      
      对于我等脚本小子来说,国家正式告诉我们什么该做什么不该做,拥护国家拥护人民的该做,知法守法是我们的义务,但是,我们更要了解法律才能最大限度的去保护自己,要怎么做当然要了解一下《网络安全法》的内容了。

      安全法从6.1开始执行,共7章七十九条。目的是对网络空间主权的宣示(懂吧?只可意会),在理论发面完善标准指定,加强宣传工作,培养相关人才(联想近期的黑客事件,你应该懂得为啥)。这说明国家会陆续制定网络安全的标准书吧,重点在网络认证,风险评估上,真正的大牛会在乎证书吗?

      我们这些脚本小子要注意了,不要整天拿着工具瞎JB乱扫了。发布相关漏洞信息应当遵守国家相关规定,也就是说在社区发布漏洞挖掘或利用的时候,前提是要遵守国家的规定,问题来了,规定是什么?就是不让你发漏洞信息吗?这就尴尬了.......不守法的后果就是-警告处分,1-10万罚款,辛辛苦苦挖洞一年,一夜回到解放前,认怂...

      不许非法入侵,不得提供非法入侵的工具,不得提供入侵支持,推广支付,还敢一时气愤把学校搞了,把某某GOV搞了吗?
    图片1.png
    对于这样的大表哥我等小辈只能膜拜,/认怂脸....

    还有就是写个安全监测的工具被抓,就好像,你做一把菜刀有罪吗?有罪的是去使用它干什么、
    网络中保护好自己,永远不知道谁会在背后捅你一刀,之前认识一个大牛,他写的工具大家都用过,就因为别人拿着他的工具去日站,被抓了之后就说用他的工具日的,结果把他也抓了。。。。这TM....没毛病,法律不允许就不能去做。后果就是5日以下拘留,5-50万罚款,5-15日拘留,10-100万罚款,真的是赔个底朝天,知道拘留干嘛吗?在里面帮他们做免费劳动力,测试这,测试那!!

    不能建立非法网站或群组,这也就是为啥qq群加强管理的原因,近期一大批网站关闭的原因,先约谈,好好听话啥事没有,抵抗?5-15日拘留,5-50万罚款,我关我关......
    挖洞需谨慎,挖洞有风险
    别以为SRC就不会有事了,世纪佳缘...
    别人把裤脱了,把洞丢出来给你玩,你去提交,Game over...等着哭吧

    法律限制我们这么多,那我们就要夹缝中生存啊必须会火的一个行业就是CTF,正规的玩法,还能赚钱,还有证书,尽管没啥用...技术牛都是走土路的,不是参加比赛,参加培训就能成为大牛,中间要付出多少时间来研究
    最近很少挖洞,偶尔在论坛挖下SRC完任务也就没地方玩了,乌云关闭之后,洞就没地方交了,一年多的时间大牛们手中得多少0day,当然还有CNVD可以去

    法律不应成为限制我们发展的阻碍,应该成为我们前进的保障。
    如果挖洞腻了,去试试CTF吧,会收获更多。。。。。。。

    最后,我想说一句,我忠于的国家,忠于我的党

    使用道具 举报 回复
    发表于 2017-5-25 15:06:25
    坚守法律底线,同时及时关注相关立法的变化,规避风险,这样才能更好地保护自身权益,以免引火上身。。。
    使用道具 举报 回复
    本帖最后由 独狼1927 于 2017-5-25 15:16 编辑

    我以安全企业员工的角度来说说自己的看法:
    随着网络安全法逐渐进入大众视野,对各行业机构的影响很明显;我们公司在各方面的业务需求量都在逐渐增大,包括信息安全意识培训、网络安全法的宣贯解读、信息安全等级保护测评、信息安全风险评估以及渗透测试等方面;在这种大环境下,各行业机构应该会逐步提高网络安全意识,加强网络安全防范措施、提高应急能力;对于安全从业人员,挑战和机遇并存,撸起袖子加油干!至于白帽子的路该如何走下去,这个问题的答案估计还是个未知数。


    使用道具 举报 回复
    发表于 2017-5-25 15:24:17
    我以脚本小子的角度来说说自己的看法:
        是时候放下手中肆无忌惮乱扫一通的工具,去深入工具的原理了,在了解漏洞和利用工具的原理后,再自行搭建环境平台进行测试,虽然这样做很麻烦,但是这样即能增加对操作系统的理解、搭建环境平台的熟练度,更能随心调试,高效理解和掌握漏洞的原理和利用,一举多得。在将来处处离不开安全运维的生存工作环境中更能游刃有余。
    使用道具 举报 回复
    发表于 2017-5-25 15:34:04
    我以白帽黑客的角度来说说自己的看法:
    个人感同身受,最重要的其实还是数据,数据是个非常敏感的东西,新的网络安全法也离不开保护数据,那我们作为白帽黑客,我感觉首先挖洞的时候就要远离数据这一核心,省的直接就被查水表,然后我们就要爱党爱国爱人民,遵从党的指挥,响应党的号召。接下来的重点就是仔细的看一遍新的网络安全法,现在很多人借着白帽名义干黑产,我们要抵住诱惑,勿忘初心,干好自己的事情,切勿触发法律。别以为在互联网上就找不到你了,你在漏洞平台上信息已经有记录啦,找你太容易了,个人总结如下:


    1、QQ群里务装逼,切勿讨论日站、拿shell、脱裤等等相关事务。


    2、个人电脑上不留任何公民数据。


    3、不要去测试某厂商漏洞,你的测试就是一个攻击行为。


    技术有风险,交流需谨慎。


    最后我想说的是:我们都是路人甲




    路人甲都救不了你了。


    且行且珍惜,技术交流圈子越来越小了。

    PS:
    第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。



    未授权的任何渗透都是违法。

    除了SRC,你现在还敢挖洞吗?






    Hacking the earth
    使用道具 举报 回复
    发表于 2017-5-25 15:37:03
            从白帽小菜的角度来说吧:
    网络安全法施行后对主要挖洞为主的人来说如果不是进行专门授权的话还是会收敛些,有朋友经常接单做渗透测试和安全加固,曾经问过他,在法律中没有明确的指明怎么才算授权,那如果授权公司翻脸不认帐怎么办,得到的回复是,接到邮寄过来的盖章的授权书在进行测试,否则的话任何口头承诺都不要信,这样不会有法律依据。上次参加补天的线下沙龙的时候,也有人提过在写软件的时候注明仅供学习交流,请勿用做非法用途,也是一种规避风险的方法。
    如果说这个对我这种人的影响或者限制来说就是,裤子不能脱(50条),服务器不能搞(5台),挖洞不能用真名。
    其实也没有必要,现在的平台都是运营比较成熟的平台了,拥有者完善的验证和提交机制,当然,也不能不注意,不要玩过火了,毕竟谁也没能想到乌云就那么倒了。
    总之默默学习总没错。
    一个来自四川高校的东北人
    www.8sec.cc
    使用道具 举报 回复
    安全企业员工角度:       
          《中华人民共和国网络安全法》于今年6月1日开始实行,这下好了,广大黑客朋友和安全界的朋友可以跟小学生一起狂欢了,也不知道国家选这个时间有什么特殊含义没有。此次安全法共7章79条,最终目的其实很简单,一个是为震慑不法分子,另一个则是给出量刑的依据。《网络安全法》也是有利有弊,利:中国是坚持依法治国的原则,《网络安全法》的出台是必然的,对于中小企业来说特别是对于政府机构网站而言,《网络安全法》可以很有效的震慑那些菜鸟黑客和脚本小子,防止他们在学习技术时候有意或者无意的盗取企业敏感数据或者留下后门程序。然而,对于资深的黑客和国外间谍而言,《网络安全法》作用并不大,俗话说法无禁止即可为,游走在法律边缘的黑客大有人在,他们对这些小中型企业兴趣并不大,利益的驱使下,必然还是会攻击大型企业和国家政府的网络设施,但是《网络安全法》从某种程度上也为以后为这些人量刑提供很好的依据。弊:《网络安全法》的出台,表面上是对网络的规范起了很好的作用,但是另一方面它却抑制国内安全人员技术的提升,对于爱好网络安全的菜鸟来说,原本小企业网络设施是最佳的练手场所,但是《网络安全法》从根本上对成长中的安全人员和黑客人员心理上造成一定的顾虑,不敢深究深探,技术自然就难以快速提升,这是潜在的一个弊端。作为一个企业的安全人员,《网络安全法》的出台的影响当然是积极的,从某种程度上减轻了大量的工作,但是法律和实际衔接带来的某些灰色地带就不那么好界定,法律颁布后,个人建议安全研究人员的小伙伴们一定要遵守法律相关规定,不要试图去走灰色地带,毕竟新法是在实践中锤炼才完善的(你懂得)。
    使用道具 举报 回复
    发表于 2017-5-25 15:53:58
    本帖最后由 yangwen 于 2017-5-25 17:08 编辑

    我以白帽黑客的角度来说说自己的看法
    一看到这个话题,就想吐槽。
    就在前几天,我在挖洞的时候,跟漏洞盒子的人聊了几句,他告诉我,现在最新法就算白帽也不让脱裤。
    我当时听到,我其实都不想挖了,why?
    很简单的道理,我拿到你的sql注入点,有你的后台,我搞不好可以给你打到内网漫游,现在只能提交一个sql注入。很伤,而且玩平台的都知道这两者奖励差距有多大。
    有人会问,那我挖src呢?
    src固然比挖平台厂商安全,但是安全法都规定了禁止触碰数据,你敢触碰吗?
    8.jpg

    有一次我们盒子团队的一个小伙伴,提交了一个漏洞,结果那厂商想给我的小伙伴一些实物奖励。我的小伙伴慌了!
    小伙伴:卧槽,他问我收货地址在哪,要给我邮实物做奖励。
    我:你给他呀。多好的厂商。

    小伙伴:卧槽,万一他要搞我怎么办?
    我:不会吧
    小伙伴:你忘了乌云,世纪佳缘了么!
    我:..............



    网络安全法将在六一正式实施,在这种环境下我们这一行人该如何是好?
    1.适可而止。假如挖到一个注入,--dump执行下之后,在数据dump出来前截个图,证明--dump可以执行就可以了。
    QQ图片20170525154658.png
    这是我在漏洞盒子提交漏洞发的截图,sqlmap执行--dump,运行到这里,我就关闭了。绝对不能影响到人家的业务运营不能触碰人家的隐私。
    2.熟读网络安全法。绝对不要和法律作对!
    3.穷,不做黑产。富,不吸冰毒。


    dump一些东西肯定可以扩大漏洞的危害,但是法律很明确的禁止了,为了保护个人信息。白帽白帽,听着就很正义的词,你能违反法律?你敢违反法律?
    但是无法扩大危害,奖励少了,你就不挖洞了吗?
    你步入了白帽子,你就要明白你处于一个什么样的环境。你要知道你是谁,你能做什么,你该做什么。
    借用小叶表哥的一句话:维护信息安全,从你我做起。
    使用道具 举报 回复
    发表于 2017-5-25 16:30:21
    以安全企业员工的角度认为,安全法的到来,可谓是天大的好事,企业对安全的重视,换来的就是一套套的设备,一套套的设备换来的是一沓沓人民币,我想这一年肯定会忙的不可开交吧。安全服务及渗透测试项目应该会直线的上升。
    挖洞需谨慎,还在做未授权渗透的小伙伴们该收手了~~
    水不撩不知深浅,人不拼怎知输赢
    使用道具 举报 回复
    发表于 2017-5-25 17:22:58
    我以白帽子的角度谈谈我的看法吧:
    首先,新的网络安全法将从6/1开始实施。从各方面的来看,国家对于网络犯罪打击更为明确了。最近比较明显地能感觉到一个问题---“实名制”。网络各大网站都要求用户实名制,这是国家统一要求的,意味着以后发条帖子、评论……甚至打游戏都要求实名制……可以感觉得到国家对于网络在逐步收紧。
    而网络安全方面,国家更是对一些法律条文细化了。“批量拿站”、“肉鸡”、“脱裤”……这些都是敏感区。以我的观察来看,以后网络安全从业人员的行为将会大大受到限制,就像社会其他方面一样,从开始逐渐走向完善。所以,我们尽量约束自己行为才是可行的。
    当然,对于正常的SRC漏洞挖掘、众测这些的影响应该不大。当然注意尺度很重要。
    欢迎访问我的博客 https://www.ohlinge.cn
    使用道具 举报 回复
    发表于 2017-5-25 19:13:09
    以白帽黑客的角度来说:祝大家端午节快乐,挖洞的同时不要忘了吃粽子~保持儿童的好奇心去挖洞,学习技术,愿大家共同进步成长,早日成为大牛!
    使用道具 举报 回复
    发表于 2017-5-25 20:29:44
    本帖最后由 春秋文阁负责人 于 2017-5-25 12:33 编辑

    从不知道什么角度的角度来说说吧
                 目前白帽黑客大多是在校学生,目前你们最大的目标就是搞好学业,走向更高的平台,才能保证在安全合法的平台下去完成去释放你所有的潜力,而不是冒着法律的风险去进行所谓的“安全测试”                      p话也不多说,希望61之后那些所谓的“白帽黑客”可以多训练自己看待安全问题的角度和高度,完整的认识法律的不可触碰的边界,可以在允许的环境下展示自己的能力。      
              在能最大的程度彰显自己个性和能力的同时,别忘了心中有法,别毁了自己的一生!!!!!
            勿忘初心,方得始终!



    来啊~快活啊~
    使用道具 举报 回复
    发表于 2017-5-25 20:30:23
    xiaoye 发表于 2017-5-25 07:17
    我以白帽黑客的角度说说自己的看法:
    本次话题就从一个懂点法律的白帽黑客角度来回答问题。白帽又懂法,走 ...

    小叶表哥666
    来啊~快活啊~
    使用道具 举报 回复
    1234下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册