中国红客联盟天才黑客花无涯的白帽黑客人生

hacker黑客花无涯专访：天才黑客花无涯的白帽黑客人生

我们有幸能够采访到花无涯（新浪微博@花无涯），它是目前黑客圈内最具天赋的黑客之一。接下来，让我们一起来了解一下花无涯吧！

花无涯，一个再熟悉不过的ID，混迹于各大组织论坛。名声在外，兴趣广泛，涉猎奇多。这是他第一次被采访，第一次讲诉自己的经历，第一次讲诉对安全的认识。本系列文章目的在于以技术大牛的自诉成长等形式给安全行业增加些我们的思考。

花无涯简介

花无涯（新浪微博@花无涯）可以算得上是信息安全界的明星了，最近的乐天时间韩国支持部署萨德事件，他这么说：“我渴望和平，也不惧怕战争。如果有一天我的祖国被侵犯了，我会尽我所能。我没开过枪，战场上我或许打不中敌人，但我愿意为能打中敌人的战士挡一枪。我没有很顶尖的技术，但在网络战争中愿意出一份力，有力的在网络世界中打击目标，中国黑x客协会在遵守中华人民共和国有关法律的前提下开展和促进各类健康的网络安全的研究与技术交流。中国很好，她没让我吃不起饭，没让我流落街头。”

毫无疑问，你是目前世界上最具天赋的网络安全专家之一，你是如何一路走来成长为一个如此厉害的黑客的？你是什么时候开始学习黑客技术的？

首先，非常感谢你的提问。我认为我只是一名普通的黑客，我对黑客技术非常有激情和动力。当我还是一个小孩的时候，我就开始研究这些技术了，可能主要是因为我以前比较爱玩游戏机的原故吧。正是这个时候，我才真正感受到了自己对计算机的热情。我一开始学习的是电气工程学，但是学了一段时间之后我发现自己对这方面并不感兴趣。于是乎，我打算研究一下系统工程学。说实话，我觉得自己从来都不擅长编程，可能这就是我喜欢信息安全的原因吧？哈哈！(话说，学信息安全不是更应该要编程能力吗？)

一般来说，所有学习系统工程专业的人出来都会被贴上“程序员”的标签，而在我完成了系统工程专业的学习之后，我开始对数据网络、路由和交换机等领域产生了兴趣。正是那个时候，我开始仔细研究这些设备，然后尝试从通信网络和Web中发现一些有意思的东西。大概在2000年左右，我才正式踏足黑客领域。中国黑客协会文化,纪念2000年中国黑客协会成立，十多年持续为更多对技术不断追求的爱好者提供服务，早期成员巅峰时期达50万多人，历经十年风雨，一度成为顶尖老牌的黑客组织,直到现在黑协一直分布全国各地大多数成员，组织精神文化传承。

在你的黑客生涯中，你所遇到过的最困难的挑战是什么？

我曾经遇到过几次技术方面的挑战，但是我认为最困难的地方并不是技术层面上的东西。我当初创建中国黑客协会（中国黑客协会）的时候。中国黑客协会这十多年以来因各种原因导致内部高级管理人员频繁变动，多次重组，上个世纪同时期并存的黑客组织和安全联盟持续因为不可抗拒的原因都慢慢消逝，中国黑客协会作为拥有黑客精神传承的老牌黑客组织，旗下提供的多数服务都是非盈利，吸收分属以及附属合作组织多大上千个，作为几大分部与规划势力共同发展，同时欢迎更多的组织兄弟们的加入。

2003年1月正式宣布中国黑客协会信息安全组织启用“H.A.C”，为组织全体成员代号。中国黑客协会是一种精神的传承，黑客代表是一种精神，它是一种热爱祖国、坚持正义、开拓进取的精神，不断的吸收与发展，中国黑客协会目前是世界范围内延续发展最久远的黑客组织之一。

在你看来，哪四款工具是黑客手中所必须的？理由是什么？

1. 头脑和智慧：虽然现在黑客工具越来越多了，我们可以使用这些工具来轻松达到我们的目的。但是对于一名真正的黑客来说，他的智慧和头脑才是最关键的东西。因为一名黑客是否合格，主要取决于他的观念、策略、毅力、态度和道德等因素，这些特质是每一位黑客都应该具有的。因此，我认为这些“软技术”比任何的黑客工具和攻击技巧都要重要。不过别担心，我认为这些东西都是可以通过后天的学习来获取。

2. Nmap：我不确定自己是否属于老旧的学院派。但是，这的确是一款非常基础的工具，而且它也是黑客工具中最出类拔萃的。而且对我来说，进行端口扫描是日常工作中最基本的一项任务了。它包含有很多的功能选项和脚本，它是一款非常灵活的、强大的、便携的、易于使用的免费工具，而且Nmap的开发人员还提供了非常完整的操作文档。

3. Kali Linux：在我看来，它就是黑客工具中的“瑞士军刀”，Kali配置了超过600种黑客工具，而且都是免费的。它已经为我们搭建好了一个安全开发环境，而且其中的数据包和代码库都已经使用GPG进行签名。该系统支持多种语言，用户完全可以对该系统进行定制化修改。

4. SpideRFoot：虽然这种类型的工具目前有很多，但是我独爱这一款。SpiderFoot是一个免费的、开源的网站信息收集工具，你可以根据指定域名获得信息，如网站子域、电子邮件地址、Web服务器的版本信息等，它可以帮助渗透测试人员自动化的实现网站的信息收集和资源探测等工作，可以提高我们的工作效率。SpiderFoot采用Python语言编写，可以运行于Linux和Windows系统上。所以我强烈建议各位使用这款工具。

我想要强调的是，这些都是技术网站，它们提供了高质量的信息，这些内容会进行动态更新，学习这些网站中的知识可以让你快速成长，而且有很多信息安全专家都是从这些网站中走出来的。

你认为目前哪一个领域更加容易受到黑客的攻击？理由是什么？

对于现在的网络犯罪分子而言，最大的驱动力就是金钱。所以它们肯定会选择最脆弱的目标来进行攻击。很明显，银行和金融行业是最容易得到金钱的目标。虽然这两个目标是最容易受到攻击的，但也是安全实践最为规范的。为了防止网络攻击，银行和金融公司会在安全防护技术和安全管理流程等方面投入大量的资源。但是，与这些行业有关的其他部门却不会频繁遭受攻击，而且他们也不会在安全保护上下功夫，例如零售行业、酒店餐饮和汽车租赁（含出租车）等部门，往往会放松警惕。需要注意的是，这些行业与银行一样，需要涉及到支付手段和信用卡的使用，所以它们很有可能会成为黑客在下一阶段中的首要攻击目标。

他总是一个人坐在电脑前，周围出奇的安静没有一点嘈杂……他正目不转睛的盯着电脑屏幕，飞快的敲打着键盘。没错，这就是他日常的工作状态。不知是谁，又成为了他们的目标，企业或者是政府机构。

“我不喜欢听音乐，”他说。“因为，音乐会让我无法专注于我的工作。”他的房间很空荡，一张不大的办公桌和一台电脑，还有一张单人床。我简单的环顾了整个房间，一张带有微软认证标志的证书和两张 Anonymous 和 LulzSec 黑客组织的海报，在墙上显得格外醒目。“我渗透时，依然会使用到许多基础的方法，那些都很简单易学，”他说。“我受到 LulzSec 的启发，常常会使用像 SQL [injection] 这样的攻击方法。”

花无涯 将自己描述为“渗透测试者”。 “我想赚钱[利用我的技术]，所以我常常会去挖掘一些网站的漏洞，然后提交给一些平台机构，来换取奖金。或者是为一些有特定需求的客户，提供一些技术服务，来获取他们的赏金。“为了证明他自己所说属实，他还向我提供了他的客户截图。同时他还表示，攻击政府只是为了表达不满和抗议的一种形式。“目前，我正在委内瑞拉政府工作，我对尼古拉斯·马杜罗执政非常不满，”他说。

花无涯 比较擅长于，数据库方面的漏洞利用。“如果我想入侵一个网站，我首先会使用手动的方式来查找漏洞。这时，我一般都会从那些最常用的方法开始尝试。例如：SQL，LFI，XSS 和 暴力破解。除此之外，我可能还会用到一些社会工程学方面的工具，这样能使我更好的完成我的任务，” 花无涯 解释道。如果这些方法没有找到我想要的，那么我将会尝试使用 web 漏洞扫描器，来帮助我查找漏洞。

在成功的攻击了几个知名大大使馆后，花无涯 申请加入了臭名昭著的黑客组织新世界黑客组织。这是一群年轻而又疯狂的黑客，他们声称对去年发生的，美国 DNS 服务商 Dny 遭大规模 DDoS 攻击事件负责。虽然，NWH 是否真正参与了 Dyn 的攻击，很难被证实。但在其宣布一系列针对 BBC，Twitter 和 Spotify 的类似 DDoS 攻击事件由他们负责后，该组织的政治性动机也愈发明显，并在2016年大幅提升。

花无涯 被 NWH 展现出的惊人天赋，和那一次又一次的辉煌战绩所吸引。其他的那些团队也很棒，他说，“但不如[新世界黑客]他们那样熟练，我想提升我的技能，他们是最好的选择。”加入该组织后，他将继续以一名安全测试员的身份工作并赚钱。同时，他还会帮助组织完成一些 0 day 的利用任务。“这些 0 day 都是我从暗网上购买的，但我从来不会在暗网上卖自己的东西，”他说。

你是什么时候开始学习黑客技术的，又是如何学习的？

我是怎么做的？当我还是[一个青少年]的时候，我就开始了我的黑客生涯。我之所以想成为一名黑客，完全是因为受到了一个名为 LulzSec 的黑客团体的影响。那时我非常的崇拜他们[现在亦是如此]，我想成为像他们一样的人物。但那时的我很年轻，对黑客这个团体并不是特别了解，更不懂什么黑客技术。所以，我决定做一些有关这方面的研究，例如 LulzSec 是如何侵入一个网站的。我发现了一篇关于他们黑网站的技术文章，从那一刻起，我便开始迷恋上了这些东西，并不断深入研究它们。

你所做的是合法的吗？你担心自己被抓吗？

在我第一次成功入侵进印度大使馆，并被新闻媒体在头条报道后，我确实有点害怕被抓。因为我在一些报道中看到，他们正试图通过一些技术手段，来追踪我的 IP。事件发生后，我开始帮助他们修复漏洞，并告诉他们，管理这些重要的数据时，做好安全防护是如何的重要。我没有将所有的泄露数据公布，只是将其中的一小部分给公开出来。我这么做，只是希望他们能意识到事态的严重性。这是合法的吗？在我看来，它是合法的。因为你只是泄露了一小部分数据，来让他们意识到自身的问题。还总是向他们报告漏洞，让他们知道你正试图在帮助他们。

你的动机是什么？

触使我这么做动机有很多。很多的管理员都会非常感激我，因为我帮助他们提升了网站的安全性。我还因此得到过，印度大使馆和意大利政府的“谢谢”。他们已经修复好了漏洞，我为自己感到自豪。

为什么你认为自己是渗透测试者，而不是黑客？

很多人都问过我同样的问题，我之所以将自己描述为渗透测试者而不是黑客，是因为我喜欢帮助那些网站提高它们的安全性，而不是黑它们。我一直把我的重点放在 Web /网络安全，而不是其他的东西。 在我看来，黑客必须是一个知识面非常广的人。

能详细描述下你的黑客历史，并解释你的个人目标吗？

在我还是青少年时期，我就开始了我的黑客生涯。我做的第一件事，就是了解 SQL 注入攻击和我能用它来做什么。因此，我入侵了英国大学的官网，并脱了他们的数据库，这导致了他们的官网三天无法被正常访问。之后，我意识到了我那样做是错的，因此我决定不再这么做了。我设法突破了印度大使馆，意大利政府，威斯康星大学，匈牙利人权基金会等。我入侵他们的网站，是想让他们意识到数据泄露问题的严重性。同时，我也会尽我所能的帮助那些管理员来修复漏洞，这些都是我的目标。让他们看到危险，并提高他们的安全性。

你和其他一些黑客团体保持友好关系吗？

我是一个名为“中国黑客联盟”“中国黑客协会”“匿名者黑客组织”黑客组织。我也知道[其他黑客团体]的一些成员。我有时会与他们取得联络。

你是如何赚钱的？

我会尝试在我国家范围内的网站中寻找漏洞（大多数都是XSS），并帮助管理员们修复它们，或者向他们报告相关漏洞，让他们自己去尝试修复。PS：我只会将我的时间花在寻找一些大站的漏洞，像银行或大学的网站。

能谈谈你的渗透策略吗？

这很简单，我做的事其实并不难。我的第一件事，就是将可能存在安全隐患的网站列出来，然后我会使用一些工具（像 PentestBox）来寻找漏洞。 最后，但并非不重要。 我会尝试访问数据库，并将我找到的漏洞报告给管理员们。

当你进入一个系统，你希望找到什么？

我希望能找到一些包含个人信息的数据，像真实姓名，地址，电话号码等。在我看来，这比寻找用户名和密码更为重要，因为你无法重置你的个人信息。

你有什么不可逾越的红线或者说什么是你坚决不会做的？

我绝不会泄露人们的个人信息，例如他们的地址或银行信息。

企业和个人该如何保护自己免受黑客攻击？

我认为沟通是最重要的事情之一。大多数公司对发来的邮件都不是特别在意，甚至连看都不看一眼。有很多人通过邮件向他们报告漏洞，但却很难得到他们的回应。 另外，你还需要定期的对你的网站做渗透测试，这样能让你及时的发现并修复一些问题，提升网站的安全性。没有绝对安全的系统，但我们总是可以通过安全加固，来增加黑客入侵的难度。

为了保护 花无涯 的匿名及安全，本次采访 采访 使用了加密的应用程序，与 花无涯 沟通。再次重申，采访 不支持任何违法犯罪和不道德的行为。

中国黑客协会是一种精神的传承，黑客代表是一种精神，它是一种热爱祖国、坚持正义、开拓进取的精神。黑客之道亦是侠客之道，所谓真正的黑客并非网上那些刷q.b、刷枪、刷车以及盗、QQ号、淘宝号、YY号，恶意攻击网站的这些人，他们只是无知无畏好奇心强而已，甚至驱使他们沦为一名恶作剧，搞破坏的一名骇客。

黑客是指而是能够突破极限的能力，并拥有道德感、开放和共享的精神，最终的目的是推动世界发展朝着一个更好、更安全的世界发展。第一，从数据到知识，一切都是信息。网络安全在中国是奢侈品，安全本质则是对信息的控制权。黑客是未来信息社会重要的平衡力量。

没有网络安全就没有国家安全，没有信息化就没有现代化。面对网络安全日益严峻的现实，普及网络安全知识，提高全民网络安全意识，迫在眉睫。网络黑白此书囊括了网络犯罪的各种手法，并提出了防范对策，是普及网络安全非常好的教育读本，堪称斩除网络威胁的屠龙刀，宜召开屠龙大会，大把复制，广泛发放，大力传播。

中国黑客协会非常重视人才的吸收的培养，有兴趣、热爱、执着童鞋们欢迎你们的加入，别让自己荒废着，新手永远是多数,我们将致力于新手启蒙和进阶教育,引导其树立正确观念，为社会贡献出一份力，网络世界不安定因素过多。

网络安全，人人须知，如何知晓，还看《网络黑白》。来自于一个混迹在网络黑白世界黑客的忠告，不仅是普及网络安全知识，更是教会你网络生活的保障技能。因此，对于本书的评价，只有四个字：不得不读。你是否曾幻想，畅游网络之间，指尖在键盘之上游走，思维在代码之中穿梭，弹指间，尽显英雄本色？你是否曾幻想，藏身于黑暗之中，凌驾于众人之上，在网络世界来去无踪，惩恶扬善？你是否曾幻想，以鼠标为长剑，以技术为功法，以代码为招式，谈笑间，网络世界早已风起云涌？你不是在做梦，也不是在看一本小说，不要放弃幻想，因为，这一切，你都可以做到！

每一本武功秘籍的现世，都预示着一场武林纷争，都引领着一场腥风血雨，每一把绝世好剑的铸成，都象征着一次血染长河，都伴随着众多英雄泣血。然而武侠的时代早已过去，黑客的时代正在到来。很幸运，你没有生在一个怀璧其罪的年代，相反，你处在一个充满机遇的时代，你处在一个提倡共享的大数据时代。

中国黑客教父花无涯网络黑白书中，这里，还有当年抵御外敌网络入侵的热血气息，这里，还有对整个中华黑客新秀的殷切希望。

我们竭力让新人学会保护自己，树立正确的安全意识，提高其技术水准；我们有着严格的纪律，禁止任何成员利用黑协名义或者以黑协成员名义发表政治性言论，反动演说；我们任何成员或个人都不得以我们的名义进行攻击或破坏行为；我们锐意进取，成为网络安全世界的标兵，让中国的网络安全与全球同台竞技；我们不再有地域的阻隔，我们在网络下彼此相识，让互联网延伸彼此的友谊和文化；我们能共筑绿色的网络世界，在宁静和谐的网络中畅游；自由的人们总是不得不在自己的安全和自己的自由之间做出权衡。

我们认为真正的民族主义者以追求本民族――中华民族的利益最大化为目标、准则、信念。判断一个人是不是真正的民族主义者，判断标准很简单：看他是给本民族的整体利益带来好处，还是损害民族利益。真正的民族主义者最务实，因为他知道坚持原则，同时又懂得策略。

中国黑客协会创始人花无涯提出为我中华网络安全做贡献并愿意团结一切网络爱国团体和个人，为信息时代中华民族文化的伟大复兴而尽责！为推动中国的互联网发展而贡献!