论当今白帽子到底有多法盲之倒卖漏洞牟利

黑家小无常 诚殷网络 2024-03-10 21:51

15岁入行，到如今27岁，依旧每天都在不断的努力学习网络安全，在学习的途中逐渐补充空白的法律盲区，网络安全行业本身就处于黑白之间，用的好就是一把利剑，用的不好那就危害国家，危害自身。今天我们就来讨论讨论 “一群拥有高学历，高技术的 “白帽子”，到底有多法盲？”

只需要1000元，你就能买到中国通用软件的0day！只需要1000元你就能买到中国大型国企，乃至
中央部委级别的漏洞！整个过程中没有任何身份认证，
给钱就卖！

中华人民共和国网络安全法

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，
或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。

我们再来看接下来一个微信公众号的操作：

【女神节】活动来袭！CNVD证书赠送！

https://mp.weixin.qq.com/s/eVz6zOQBv1zIJQ_H4aq6Pg

在文章中声明自己可以帮助对方拿到CNVD证书，并且还能定制通用漏洞或者事件型漏洞。下面是本人添加对方客服微信获取到的相关信息。

询问是否能定制政府类型漏洞

事件类型证书：300，高危类型：1000

询问是否可以自己去交漏洞，其实自己去交还是他去交，我们都可以下载漏洞附件获取漏洞的相关详情。

买政府漏洞嘛？只要500！！

讲了讲价格，只要150就能雇佣一个黑客大佬去帮你挖掘政府漏洞！

说到这里，什么样的漏洞会颁发证书？

证书颁发条件为：

（1）对于中危及中危以上通用型漏洞（CVSS2.0基准评分超过4.0分）（除小厂商的产品、非重要APP、黑盒测试案例不满10起等不颁发证书）

（2）涉及电信行业单位（中国移动、中国联通、中国电信及中国铁塔公司）和中央部委级别(不含直属事业单位)的高危事件型漏洞。

结束语

在这里我只想问问这些人，你们tm还是白帽子嘛？你们这跟黑客有啥区别？要是国外间谍跟你购买你会知道他是间谍嘛？
通过你的漏洞给国家，人民带来的损失，你负担的起嘛？为了1000块钱，毁了自己一辈子划算嘛？你们这些脑子里面到底装的什么东西，装的豆渣嘛？那么明显的犯法行为难道还需要警察到你家门口敲门告诉你？

任何以漏洞进行牟利的行为，都是违法犯罪！

任何未经授权的渗透行为，都是违法犯罪！

如果上述这些人看到这里，心里还在觉得我是在找你们麻烦，那你就做好蹲大牢的准备吧！你卖出去的每一个漏洞，都将会是埋在你未来的地雷，另外可以跟你科普一下，售卖中央部委，大型国企，通用软件供应商0day，已经涉嫌到危害国家安全。

境外机构、组织、个人实施或者指使、资助他人实施，或者境内组织、个人与境外机构、组织、个人相勾结实施危害中华人民共和国国家安全的行为，构成犯罪的，依法追究刑事责任。