第257章 各种客（2/2）

“相反的是白帽黑客（WhiteHat），或者叫道德黑客、安全研究员。他们受雇于公司或政府，专门寻找系统漏洞，然后报告给所有者修复，目的是让系统更安全。很多大公司都有漏洞赏金计划，就是请白帽黑客来找茬给奖金的。”

“还有灰帽黑客（GreyHat），游走于黑白之间。可能未经授权就测试别人系统安全性，但发现漏洞后不一定用来牟利，也可能公开或通知对方，动机复杂。”

“除此之外，还有像黑客行动主义者（Hacktivist），像‘匿名者’那种，出于政治或社会目的发动网络攻击；脚本小子（ScritKiddie），只会用别人写好的工具，自已不懂原理，搞破坏图个乐子；以及国家支持的黑客，那层次就高了，是网络战的一部分……”

戴夫条理清晰，结合实例，将黑客世界的轮廓勾勒出来。程龙听得非常认真，这些背景知识有助于他理解这个“行业”的规则和风险。

他尤其关注白帽和灰帽的部分，思考着自已未来可能需要以哪种“身份”或“手段”来达成目的。

随着戴夫的讲解和程龙自已的理解吸收，他脑海中那个【黑客技术lv.0的经验条，开始稳步跳动，最终在戴夫讲完分类概述时，轻轻一颤，变成了lv.1。

一股微弱但清晰的信息流涌入脑海，主要是关于计算机网络基础架构、常见攻击面、以及最基本的踩点侦察方法论的概括性理解。

就像一下子记住了好几本入门教材的目录和摘要，虽然还不具备实操能力，但知识框架已经搭建起来。

“接下来，我们实操一点基础的。”戴夫看程龙理解得很快，也来了兴致，“光说不练假把式。我们……找个目标试试最简单的信息收集和漏洞探测思路。当然，不是真搞破坏，就是演示。”

他在浏览器地址栏里输入了一个网址，洛杉矶县某个小城市的政府官网，页面看起来有些陈旧，功能简单。

“就这个吧，本地的一个小市政府网站。这种网站通常预算有限，用的可能是过时的内容管理系统（CMS），或者有没修补的已知漏洞。我们用它来演示一下最基础的踩点和漏洞扫描思路。”

程龙看着屏幕上那个充满“官威”的政府网站logo，眉头微挑：“你直接在官网上搞这个？不怕被追踪到，惹上麻烦？”

戴夫笑了笑：“老大，放心。第一，我们只是做最基础的信息收集，比如查看网站用了什么技术框架、服务器类型、有没有暴露不该暴露的目录或文件，这些操作本身不违法，就像在人家房子外面看看建筑风格和窗户有没有关严，不算入侵。第二，就算用工具做简单的漏洞扫描，只要我们不进行实际的渗透测试，不窃取、篡改任何数据，顶多算是……‘敲门’声音大了点。第三，这种小政府网站，通常没有专职的安全团队实时监控，日志分析也滞后。第四，也是最重要的，我们没有任何恶意，也不以盈利或破坏为目的。这只是教学演示。在现实中，白帽黑客和安全研究员每天都会对无数网站做类似的健康检查。只要我们不越界，警察和FBI没那闲工夫为了这点敲门动静来抓我们，成本太高了。他们盯的是那些真正搞破坏、窃取数据、搞勒索的黑帽。咱们这顶多算是个……稍微有点出格的恶作剧。”

话虽如此，戴夫还是熟练地打开了一个虚拟机软件，启动了一个预先配置好匿名网络的Lux系统。

“当然，基本的掩护还是要有的。用虚拟机，走代理，清理痕迹。这是好习惯。”

程龙点点头，将戴夫的话记在心里。

界限、风险、掩护……这些都是实际操作中必须考虑的。

这次的教学持续一个小时，成功在入侵了这个官网，在上面挂了一张川普的照片作为结束。