在很多年前，当“Hacker”这个词被滥用，一些 Hacker 为了把本身和媒体中被称作“Hacker”的网络犯法者——出格是没什么技术含量的——区分隔，提出了“White Hat”和“Black Hat”的说法，国内凡是译作“白帽黑客”和“黑帽黑客”。而“白帽子”在当今中国的语境中，又进一步特化了，特指向各个缝隙呈报平台、厂商 SRC 提交缝隙的人。自“白帽子”诞生起，相关的争论就从来没有遏制过。

先说说法令。

我功令王法国法令中和打击入侵有关的主要是《刑法》第二百八十五、二百八十六两条，以及相关司法解释。这两条主要看：有没有越权控制系统，有没有越权获得数据，有没有粉碎系统可用性。

通例端口扫描凡是不会被认为是违法。那么缝隙扫描呢？通过获取版本号探测缝隙的要领显然也不算违法。但有些缝隙扫描需要在对方系统上实际执行命令才华判断缝隙是否存在，例如“Shellshock”。这种情况从理论上说，存在一个短暂的越权执行过程，但由于并未真正去试图控制系统，所以在实践中，凡是不认为属于“犯警控制”。

发送 "news.php?id=2-1" 这样的请求去探测是否存在 SQL 注入显然不算违法。而探测发明可能存在 SQL 注入，实际去测验考试获取数据以判断是否真的存在缝隙，这种行为就对照模糊了。如果获取的数据是表的字段名、布局，不涉及用户数据，相对还好。而如果获取了用户数据，出格是用户名、暗码，即“身份认证信息”就可能得罪《刑法》。

《刑法》第二百八十五条第二款：

违反国家规定，侵入前款规定以外的计算机信息系统或者给与其他技术手段，获取该计算机信息系统中存储、措置惩罚惩罚或者传输的数据，或者对该计算机信息系统实施犯警控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单惩罚金；情节出格严重的，处三年以上七年以下有期徒刑，并惩罚金。

到达“情节严重”才是犯法，那什么是情节严重呢？在《关于管理风险计算机信息系统安适刑事案件应用法令若干问题的解释》中是这样说的：

犯警获取计算机信息系统数据或者犯警控制计算机信息系统，具有下列情形之一的，该当认定为刑法第二百八十五条第二款规定的“情节严重”：

（一）获取付出结算、证券交易、期货交易等网络金融处事的身份认证信息十组以上的；

（二）获取第（一）项以外的身份认证信息五百组以上的；

（三）犯警控制计算机信息系统二十台以上的；

（四）违法所得五千元以上或者造成经济损掉一万元以上的；

（五）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，该当认定为刑法第二百八十五条第二款规定的“情节出格严重”：

（一）数量或者数额到达前款第（一）项至第（四）项规定标准五倍以上的；

（二）其他情节出格严重的情形。

明知是他人犯警控制的计算机信息系统，而对该计算机信息系统的控制权加以操作的，依照前两款的规定治罪惩罚。

也就是说，入侵获取 10 组以上金融证券行业的用户身份认证信息，或 500 组以上一般系统的用户身份认证信息，或入侵了 20 台系统，就可以判刑了。如果获取 50 组以上金融证券行业的用户身份认证信息，或 2500 组以上一般系统的用户身份认证信息，或入侵了 100 台系统，就可以判三年以上。

所以，在测试网站缝隙的过程中，想制止得罪《刑法》，就要注意获取的信息种类和数量，也不要去植入后门。

再讲讲原理。

在今天，一个存储了大量有价值数据的网站，必然会被盯上，必然会有人测验考试入侵。必然，必然，必然。

而安适是四维的，不是三维的。对绝大大都网站来说，即使此时而今的入侵难度很大，但在一段不算长的时间内（好比说一年），被至少告成入侵一次的概率则非常大。因为新缝隙总会不停被发明，而措施员、系统打点员的事情不会永远完美无缺。

而如果有人和入侵者一样，也去不停测验考试入侵这些网站，并且发明缝隙后及时奉告网站，实际上就成为了恶意入侵的竞争者，很多缝隙可以在被恶意操作前被发明和修复。

在大大都国家，都有网络入侵的相关法令，然而从 Microsoft 到 Facebook，从腾讯到小米，很多公司都创立了 SRC，鼓励大家辅佐寻找本身网站的缝隙。而这些寻找缝隙的过程，如果严格凭据法令条文去抠字眼，很多可能都有问题。

（Facebook 定制的“White Hat”银行卡，用来给向他们呈报缝隙的人发奖金）