这是一个包含几个不同部分的负载问题，但我认为总体上是可以回答的。

有没有黑客精神

是和不是。主要问题是黑客团体的广泛多样性，它们因目标而异，因此道德规范也不同。仅举几例：白帽子通常遵循“不伤害”类型的道德规范，并试图关闭安全漏洞。关于红帽和黑帽的事情变得相当复杂，一个简短的总结将表明：当然（多么令人惊讶）有“里面有钱？我在里面。”-类型的黑客，这不会不关心道德。另一方面，还有一些政治上活跃的团体——例如匿名向伊斯兰国宣战（对结果的看法不同）——当然遵循某种道德准则。或者是试图打破复制保护并遵循“一切都应该对所有人可用”的共产主义原则的经典破解者。一些团体将对该团体的忠诚度添加到他们的道德准则中。简而言之：有些人遵循道德准则，有些人则没有。道德规范的多样性是巨大的，因此进一步扩展该主题并没有多大意义。

披露

在向公司披露发现的漏洞时，社区有三个主要的披露政策。

• 完全披露：发布漏洞的详细信息以及 PoC。有些人更喜欢这种方法，因为公司并不总是乐于被告知他们有数据暴露的安全漏洞，并向人们抛出律师而不是修复漏洞。一些公司假装问题不存在或解决了问题而没有适当地归功于做这项工作的人。
• 负责任的披露：与公司合作确定根本原因，自行验证修复，然后在编写补丁后发布信息。Rain Forest Puppy 是最早发布关于何时将负责任的披露视为失败原因并发布细节的公认政策的人之一。这是一个很难达到的平衡。
• 完全沉默：这意味着有 NDA 和律师，有时还有法庭命令，让这个人不能说任何话。

平衡很难。如果我发现安全漏洞，我希望公司修复它。但有些公司在个人黑名单上，我之前处理过，对研究人员极其不尊重。这些公司将得到全面披露。风气呢？研究人员正在平衡在犯罪分子利用它之前修复它，让它不被修复，犯罪分子发现它并利用它。这是一个判断电话，而且并不容易。

出售漏洞和漏洞利用

社区内外都有很多关于销售漏洞的道德问题的讨论。我的意图不是发动战争，而是在不让我的个人意见影响任何人的情况下提供尽可能独立的观点。

当我们谈论道德时，主要有两种观点：

• 出售并为您的辛勤工作赚钱：如果我花费数小时和数小时的工作来寻找漏洞，我想为我的辛勤工作获得报酬。这是供应商应该解决的问题，一个独立的人可以为我代理这种沟通，影响负责任的披露，而我不必担心律师。

• 不要卖，因为我不知道谁会得到这个漏洞。越来越多的民族国家相互攻击，影响贸易、国家机密等等。我不希望我的功绩落入一个民族国家的手中。

好吧，真的，有精神吗？

个人认为没有。您可以在 Internet 上找到并阅读《黑客宣言》。这是一个很好的阅读。但归根结底，我的安全技能以及我如何使用它们反映了我是谁，而不是相反。我不会故意让人们处于危险之中。有一些潜规则，我在上面的披露政策中提到了其中一些。社区中最大的一个，你会因为这个社区太棒了，所以你会被召唤出来，不要做一个混蛋。如果你是个混蛋，你就会被淘汰。我们不喜欢混蛋的人。如果那是你的收获，那么我已经传达了我想要表达的意思。

认证黑客？

谁能做到这一点？那么，在社区中，有几个公认的机构为社区中的各种科目教授和提供证书。到目前为止，我一直在谈论进攻性安全，因为那是我的背景。但也有事件响应，例如。以下是业内一些公认的机构：

• https://www.sans.org/ - GXPEN、GPEN 和其他证书。
• https://www.eccouncil.org/ - C|EH、CNDA 和其他证书。
• https://www.offensive-security.com/ - OSCP*、OSCE、OSEE 和其他证书。

*我有 OSCP。

这些是公认的机构有几个原因，但他们都有一个共同点是，如果你做任何违背他们规定的道德的事情，他们会剥夺你的认证。

谁说他们可以做到这一点？

没有人，真的。我可以创建一家公司，提供证书和培训，仅此而已。但很快业界就会知道你是一家造纸厂，还是实际上提供物质。我上面提到的三个是公认的，因为它们提供了实质内容，尽管在不同的领域和不同的技能水平上。

推荐阅读

这是一个宽泛的问题，所以我试图提供一个不受自己经验影响的答案。但是那里有很多阅读。我给了一些链接，所以搜索一下。你会看到关于黑客道德有非常有效但几乎相反的观点。我最后的建议是不要做一个混蛋。没有人喜欢混蛋。