经济观察报 记者 冯庆艳 鬼麦子和沦沦是十数年的好朋友了,两个人都是“白帽子”,成为好友也是这份职业带来的缘分。在现实世界,鬼麦子比沦沦小三岁,而在网络安全世界里,鬼麦子比沦沦入行更早些。“白帽子”是对一类网络安全从业者的称呼,他们掌握网络安全技术,将安全漏洞反馈给组织及时修复,从而帮助完善安全体系,守护用户安全。在网络安全行业,从业者都有自己的业内id,鬼麦子和沦沦就是两位从业者。
1995年的一天,在陕西汉中的一个小县城里,一个小男孩呱呱坠地,这个小男孩就是鬼麦子。这时候,沦沦已是三岁孩童,他出生并生活在风景秀丽的云南大理。
汉中距离大理1400多公里,驱车要近20小时。两个一北一南、性格迥异的人,做梦也想不到,网络安全技术成为他们十数年友谊的纽带。
鬼麦子今年27岁,沦沦30岁,他们都有十多年“白帽子”经历。他们还一起组建了一个网络安全技术交流群,名叫“膜沦群”。“都是很厉害的同行,有各种企业的安全工程师,各种高校的学生、研究生,也有外国留学的学生,还有在三亚开民宿的……”说起这个群,鬼麦子声音里隐隐透着热血沸腾的感觉。
始于少年
小学三四年级,鬼麦子就经常到网吧玩游戏,“被父母发现了,就挨一顿打,”鬼麦子说,至今他唯二的业余生活就是打游戏和旅游,“这么多年了,打游戏就是一个休闲娱乐”,鬼麦子说。
沦沦在成为“白帽子”前,同样痴迷于打游戏。不过与鬼麦子不同,他进入网络安全世界后,就很少打游戏。“相对于游戏,我更痴迷于网络安全技术,”沦沦告诉记者。
2010年,社交账号被盗,年仅14岁的鬼麦子,开始自学网络安全技术,学习Web安全与渗透技术,在网吧拿Webshell抓肉鸡……此外,还通过各种群、论坛与同行交流,并认识有十数年友谊的同行朋友。
2012年,从技校毕业后,16岁的鬼麦子进入一家国企车间实习。下班后回宿舍,舍友都在聊天打游戏,他却坚持学习PHP与网络安全技术。
也是在这一年,鬼麦子的人生航向发生重要转折。他向腾讯提交了第一个漏洞,获得了一个龙年企鹅公仔的奖励,送给了在上小学的妹妹,“妹妹开心极了”,鬼麦子的成就感油然而生。
2011年,沦沦辍学了。“在家差不多待了一年多,整天泡在房间里弄电脑。”沦沦告诉记者,“自从接触了安全技术后,我就从来没玩过游戏了,潜心做这个东西,每天就是研究。”
同样在2012年,沦沦不仅进入昆明学院计算机系学习,也向平台提交了第一个漏洞,后来成为了一名“白帽子”。
“白帽子”岁月
沦沦对鬼麦子的第一印象是“很钻技术的一个人”。
2012年是互联网的web1.0时代,那年,鬼麦子给腾讯提交了一个xss反射漏洞,获得一个龙年公仔。他学习PHP、ASP语言;沦沦则在一个安全技术论坛社区里面,浏览大神的资料、文章,尝试用学来的知识赚点零花钱,补贴生活,也买了自己的第一台电脑。“花了3000元,是一台联想i5,带主机的电脑”,沦沦说,“当时是拿来研究网络安全技术的,现在还放在家里”。
一年后的2013年,以QQ空间、微博为代表的PHP(超文本预处理器)时代到来。鬼麦子由于身体出了点状况,开始在家全职挖洞。他给企业提交漏洞、参加众测活动,获得了腾讯的奖杯和2万元奖金。这是人生中第一次获得奖杯,他很惊喜,“原来初中数学考0分的也可以拿奖”。他用奖金给家里买了电器和很多家用东西,父母也渐渐不再反对他的工作。之后的四年间,鬼麦子一心遨游在网络安全技术的海洋里。
同年,沦沦向腾讯提交第一枚有效漏洞。借此沦沦顺利加入民间安全团队“网络尖刀”,这是他之前梦寐以求的。在这里,沦沦认识了很多师父,师父们都很乐于分享知识,沦沦成长很快,还认识了“专业种田”师父。当时种田已是圈中大牛,和沦沦亦师亦友。
沦沦初期向腾讯提交的漏洞并不太多,漏洞等级也不高,直到坚持一年后终于挖到了一枚高危漏洞。
2014年,在“专业种田”师父的牵线下,沦沦进入铂涛集团工作。这个熟人引荐模式在网络安全圈极为常见。沦沦坦言,多年混迹这个领域,大家知根知底,通过公司职位技术面试后就直接被录用了。
2014-2016年,沦沦开始研究开发编码,学习PHP开发与相关的网络知识。2016年,师父走了,沦沦在原公司继续干了一年,然而职位没有得到晋升,技术的进步也变得缓慢,冲动之下,沦沦裸辞了。
2016年,国家《网络安全法》颁布。也正是在这一年,鬼麦子又开启了不一样的人生尝试。他考了驾照买了车,开过网约车、送过外卖。之后几年也开过网店、卖软件、做过拼多多和微商……回顾这些经历,鬼麦子如今很淡然。
2019年前后,鬼麦子考虑再三,把更多的时间精力投入在网络安全行业,成为一名全职白帽子。沦沦很佩服鬼麦子的勇气。因为工作性质会致使收入不稳定。鬼麦子如今正在研究自动化扫描漏洞的技术,他笑称这是“自动化赚钱”。
2018年,以前的同事给沦沦介绍了一份工作,没想到刚去就遇上公司财务危机,公司快速垮台并欠了沦沦两个多月的工资。后来调整心态,沦沦顺利进入一家A股上市农牧公司工作至今。
有意思的是,鬼麦子和沦沦等一起成立的膜沦组织,与沦沦的亲身经历不无关联。2018到2019年,在朋友的启发下,沦沦全面研究学习SQL注入漏洞,熟练掌握技巧后一发不可收拾,技术获得很大提升,向腾讯提交了上百个SQL注入漏洞,为不少白帽子所“膜拜”,笑称其为“注入狂魔”。膜沦组织里面30多个成员经常在各厂商的漏洞排行榜上“霸榜”,甚至包揽年度颁发的重要奖项。
从小喜欢金庸武侠小说的鬼麦子,很欣赏《天龙八部》里大仁大义的萧峰,他说,如今自己更想做《神雕侠侣》里的独孤求败,“当然现在还没达到独孤求败的水平”。“相对于侠客精神,我更喜欢白帽子精神,就是开源共享”,鬼麦子对记者说,“对技术的绝对好奇,是我一直所追求的,在网络安全行业里,也有白帽子这个群体的努力。”
沦沦下班后,有两个爱好,一个是挖漏洞,另一个就是健身。“这两个事儿,我恐怕要坚持一辈子的。”沦沦说。
(应采访对象要求,鬼麦子、沦沦为网名)
京公网安备 11010802028547号