15岁，花季年龄。当大多数孩子还在奔波于补习班的时候，15岁的李成已经是一名小有名气的“白帽子”了，并成为360库带计划“2013年度最有价值白帽子”候选人行列。

　　一个游戏钓鱼网站引发的学习

　　2010年，美国成立网络战司令部，并计划在今后几年把网络安全部队扩编到4900人。同时，《纽约时报》报道称，位于山东济南的蓝翔技校是中国著名的黑客培训基地。这一年，小李成11岁，上小学5年级。

　　在一次玩网络游戏的时候，小李成看到有人兜售便宜的游戏金币，好奇的他点开那个网站后，结果账户里的装备和金币就被偷走了，原来这是一个钓鱼网站。遇到这类问题，常人除了怒骂几句，只有暗中自认倒霉。小李成却对这个骗子制作的钓鱼网站发生了兴趣。

　　他开始研究这个钓鱼网站的结构情况。抱着了解钓鱼网站的心理，开始了解网站建设，碰到不明白的地方就去网上查。

　　第一次接触网站漏洞

　　2011年6月，新浪微博突然遭遇蠕虫式的“病毒”攻击，众多加V认证的名人微博自动发布带攻击链接的私信或微博;年末，CSDN、天涯等众多互联网公司的账户密码信息被公开下载，中国公众经历了一次大规模个人信息泄露事件。这一年，小李成上小学6年级，12岁。

　　经常泡论坛的小李成，在网站上看见论坛里有人贴出的一个网站exp(黑客植入的网站利用程序)。他非常吃惊，别人是怎么知道这个漏洞，怎么发现这个问题的?。为了搞明白这些问题，他开始接触到代码，还买了《白帽子讲WEB》、《细说PHP》等一些关于脚本和编程的书。从这一年开始，李成开始关注网站漏洞、学网站渗透，不断出没在白帽子聚集的社交群和论坛社区里。

　　正义与邪恶的选择

　　2012年，雅虎服务器被黑， 45.3万份用户信息遭泄露;国内10余家主流快递企业的快递单号信息，被大面积泄露。这一年，小李成13岁，刚上初一。

　　在一个“白帽子”群里，小李成看到有人秀网站“漏洞”，然后有人要买这个漏洞。小李成感觉很惊讶——原来，网站漏洞居然可以交易买卖。原来，那些人都是做“黑产”(拿着网站漏洞做非法交易)的，他当时有点心动。后来发现对方给的钱挺少，李成兴趣索然，后来，再次碰到有人售买漏洞就没兴趣了。幸好，小李成没有踏入黑产这个违法行业。

　　一年提交6个高危漏洞

　　2013年，美国“棱镜门”监听计划遭曝光。同年，360发布“库带计划”计划，以现金方式征集建站系统漏洞。这一年秋天，14岁的李成升入了初二。

　　这一年的9月份，小李成向360库带计划提交了第一个网站漏洞，几天后，他收到了库带计划官方支付的现金奖励。能帮站长修复漏洞，还能拿到奖励，小李成激动不已。从此一发不可收拾，他陆续又提交了6个高危漏洞，包含ECShop、Modoer、phpyun等知名建站系统的漏洞。

　　学习比做“白帽子”更重要

　　15岁，花季的年龄，正处在青春叛逆期，正是被家长逼着上各种业余班、天天跟小伙伴疯玩的年龄。小李成却已经挖漏洞2年，算是一个有经验的“白帽子”了。

　　虽然初中的课余时间比较宽裕，天天泡在技术挖掘上，对学习还是会有影响呢?小李成分的很清楚，他认为做白帽子全凭兴趣爱好，上学肯定重要，没有知识以后就没有发展。他爸妈都很支持，只是要求功课不能拉下。

　　说提交漏洞且被认可是快乐的，挖漏洞的过程却是枯燥的，甚至有可能被不理解的站长误解。小李成有一次，好心给某个站长提交漏洞，告诉他这个漏洞多么多么危险，对方反过来说他破坏。说起这段经历，小李成有点忿忿不平。

　　做好事不被理解，最多拂袖而去;而面对网站漏洞是上报还是利用，却是“白帽子”们抉择的考验。向左还是向右?是告知站长还是恶意利用?这对于成年人来说也是一个艰难的选择，何况是更易冲动做事的年轻人。

　　小李成表现出了少年人难有的理智和成熟。他知道破坏网站是做坏事，而且是犯法的。他最佩服360库带计划里的“合肥滨湖虎子”，挖过很多大型cms系统的漏洞，而且从来没有恶意利用过。

　　喜欢看周星驰的电影的小李成，虽然在星爷最火后出生，却一直是星爷的忠实拥泵者，这也是小李成追求的人生目标。对于未来，他志向满满的要做一个安全公司，为站长们提供安全服务。

(责任编辑：安博涛)