白帽子为什么不把漏洞直接发给厂商,而选择发到乌云上面?
这是一个很严肃的问题,也是一个别人质疑白帽子的时候,提出得最多的问题: 你们为什么不把漏洞直接发给厂商,而选择发到乌云上面?
很多年前,厂商们认为报告者不应私自泄露信息,有义务无限等待;自己则有很多苦衷,所以有权力无限拖延。现在,多数大公司还是比较讲理的,但发封邮件长期得不到回复的情况并不罕见,一个漏洞补好几年的情况也并不罕见。个别不讲理的,会给你回一封信,信里明确告诉你:1、这漏洞具体什么能确认,什么时候能处理,我们不会告诉你。2、也别来信问,问了我们也不回。3、你不能私自泄露。别笑,这事儿是真的,公司也真的是大公司,是你们人人都知道的一个大公司,是一个如果说出公司名字就会有无数血粉鞋都顾不上穿跑过来骂我的公司。小公司就甭提了。
大哥, 你家网站有漏洞!你丫管得着吗?大哥, 你家网站有漏洞!你想干嘛?我警告你啊,我家丢东西就赖你.大哥, 你家网站有漏洞!.....大哥,醒醒,醒醒....大哥, 你家网站有漏洞!***,***,我家门口有小偷.大哥, 你家网站有漏洞!小子,我家没漏洞,别想骗我钱.============
后来 =====================大家快来看, 他家网站有漏洞~~~~~没有,没有,我家都修好了.大家快来看, 他家网站有漏洞~~~~~马上修,马上修...大家快来看, 他家网站有漏洞~~~~~哥哥,给你钱,下次别公开说行吗?大家快来看, 他家网站有漏洞~~~~~不错,发现的很及时,奖励你20Q币....
个人经验:还是不要作死的自己去联系厂商。我先前发现一家售卖汽车GPS电子产品的网站存在漏洞,那天吧,脑子一热,好心的去给那家公司打了***(用了自己的手机打的,没想到用公共***什么的),向他们告知他们公司的网站存在漏洞,让他们尽快修复。告知完了我就被威胁了!被威胁了!他们公司的人后来下午打***给我和我说了一大堆,简单的意思就是:既然是你发现的漏洞,你就得帮修复,不然就报警抓你。当时我听完,心里一万头草泥马奔过,这什么鬼,我一没向你们要钱,二没改动任何数据,完了我还帮你们仔细分析了漏洞。我好心告知,结果被狠狠的威胁。挂了***,我差点就哭了,这造的什么孽,要是我不修复好,我一正值大好青春的小丫头就得被***叔叔抓了。唉,最后,熬了俩通宵,终于把漏洞给修了,求神拜佛的把那姑爷爷送走了。到现在为止,想想还心有余悸。所以,还是提交乌云吧,毕竟剑心蜀黍是大神,佛光普照,驱散恶灵,至少木有人敢威胁你,不仅木有威胁,你还能拿到money和乌币,还能用rank炫耀一把,这不挺好的吗!珍爱生命,远离作死! 最后,送你两副对联:上联no zuo no die why you try下联no try no high give me five横批: let it go!上联:no zuo no die why you cry下联:you try you die don't ask why 横批:just do it!-------------------------------好些人赞,我就匿了吧,大牛太多了
很多年前还没有乌云的时候,我发现了一个团购站的小漏洞,然后拿下了他们的短信平台完了几天(大概就是给自己给同学发几条测试短信),觉得没意思了也就没管,那时候也没有提交漏洞的意识。然后,过了大概三五天,突然来了个短信到我手机,说什么我黑了他们的网站,要我负责之类的,还说要给我发律师函。当时我直接吓尿了,一是没见过这么大阵仗的,二是也从来没被这样突然发短信。接下来我们就开始谈,在下当时才16,被他吓得脸色发白躲在楼梯间里一下午都没敢出去。最后他说让我赔偿五万元,不然就走法律途径,之后我就没理他了,一来已经被吓成傻逼了(没发超过200条短信居然要5w),二来也算是侥幸心理,不过最后他也确实没有来找我。最后,我社工了他一段时间,发现他这样问我索赔之前一个月,他们的公司才刚被曝光团购欺诈,不知道问我要钱是因为公司经营不景气还是如何,总而言之事情已经过去五年了,他的网站也已经没了,现在也不纠结这些了。最后我还想写点,在下没有什么高学历,也亏得小时候父亲喜欢科技买了电脑我才能学到这些技术,当时被威胁的时候真是被吓得不要不要的,半年都没有睡好觉,也许是因为我太怂,不过这件事说到底我也不对,也许这就是报应?。。。不好意思我还想写点更早以前的事情。。。大概是初一?我撸了一个网站,什么网站不记得了。总而言之撸下来之后我去管理员桌面留了我的QQ,想通知他有漏洞。结果管理员一过来就劈头盖脸一顿骂,直接问我勒索5000元(毕竟我也没干坏事,说勒索不过分吧),当时年少气盛,也没想太多,就上去帮管理员维护了一下分区,大概就是帮他把D盘格式化删除这样,之后我就把他拉黑然后再也没管他了。说了这么多,孰是孰非大家自己评判吧。我并不认为我做的事情很对,但我也不认为自己错的多离谱。另外举个好的例子吧。我花了大概一周时间渗透了我所在的城市的教育局,已经可以控制所有的学籍资料的地步。然后我用同样的方法给他们的管理员留了我的QQ。他很快就联系上我了,我就把漏洞细节都告诉他了。过了几天,教育局给我家里和学校打***,表扬我做得好,时年初二吧。后来听说那位管理员以后都会在自己桌面上留QQ了。后来他还请我出去吃饭,我们现在已经在一起很久了。
我来说一下,在乌云没出来之前,或者说乌云还没影响力之前,整个圈子是怎么一个玩法吧。1. 两年多前,朋友发现一个大站后门(真的是后门,开发留的,cmd=XXX丢服务器跑一晚居然真跑出一句话),然后几个人去内网转了一圈,有没有收获就不说了。最后我拿小号加了那开发的qq跟他说这事情,他让我自己玩就行了,别到处跟人说。2.1上面的例子再早一点的时候,我花了一个月时间去研究一个很著名的行业软件,人生第一次写了正规的代码审核报告,先把自己出的修复方案发给老师先去修复(我们也用这玩意),然后邮件和微博找了他们的官博、技术负责人(貌似还是CTO),等了一周后得到***的回复:我们的产品经过了严格的内部code review,产品没问题,你别来搞事啪啪啪之类的话。。到现在我也没搞清楚他们到底有没有看了我写的报告。-1day跟人玩了一年多,最后终于漏出去了。厂商这时候开始忙活。3.发漏洞给厂商然后给厂商阴了一把的举手吧-------------对白帽子来说,乌云这些第三方平台的存在,就是为在整个生态链中处于弱势的白帽子提供中立的、可以跟厂商对话的平台。题主可能是觉得乌云这类第三方是在给白帽子/灰帽子/黑帽子充当保护伞的角色。这种想法有点太简单和理所当然了。
一句话:因为很多厂家连官方CERT联系人都没有设立。第二句:大家都怕法务纠缠不清。
0.很多厂商只留有***联系方式,而***又根本不知道什么是漏洞,根本没办法直接联系厂商啊。1.和厂商联系之前,任何人都不知道厂商的态度。万一对方重视的不是修复漏洞,而是被发现漏洞要来打官司,我想任何一个人都没有那个精力去频频应对厂商的一整个法务团队。而提交给WooYun,只要自己确实没做出格的事情(脱裤之类的),大可放心。2.WooYun不仅仅是一个漏洞平台,还是一个社区。在社区里有各种有趣的讨论,可以结识更多小伙伴,这些都是直接提交厂商做不到的。3.WooYun所有漏洞都是会公开的。通过研究别人的漏洞,可以提升自己的水平,而这一点在别的漏洞平台or企业SRC都是没有的。虽然企业SRC的奖励更可观,但是我认为相互学习更加重要一些。4.证明自己的能力。现在WooYun知名度越来越高,WooYun的rank也越来越被企业承认,甚至成为了一些企业安全岗位招聘的要求之一。5.WooYun有众测。只要能力足够,参加众测挖几个高危,外快大大的有。6.WooYun有知识库。只要有能力,对技术有独到的见解,发表文章分享技术,既能自己重新梳理技术点,又能证明自己的能力,还有奖励可拿,何乐而不为呢?
十几年前,我还中二那会儿,挖过百度贴吧一个漏洞,可以泄露所有注册用户邮箱地址的。鼓捣了半天,给百度认认真真发了封很长很细的邮件,结果人家鸟都不鸟我。当时我就觉得,我这是何苦呢。--------------现在看了这题里的各种回答,觉得当初没收到传票已经算是走运了吧。要是那会儿有乌云,会不会赐我个吧主当当,就当奖励我70w了?
简单说一下 黑客发现了漏洞有几种处理方法1、白帽子,友情检测,发现漏洞首先发邮件给管理员,等管理员修复后,再把漏洞公开,供大家学习2、白帽子,发现漏洞,管理员不理,等半个月,公开漏洞以及解决办法3、黑帽子,发现漏洞,先提权,脱裤,看看有没有值钱的,过几个月 钱赚够了,就丢在这里了4、黑帽子,发现漏洞,先提权,脱裤,看看有没有值钱的,过几个月 钱赚够了,然后公开漏洞======这事 要放在我们那个年代,哪里有人想着赚钱,先是把自己准备已久的大黑页挂上去,说大爷我到此一游,然后留个后门,然后告诉管理员你有个漏洞啊,然后就不管了 偶尔上来看看网管有没有在机房偷偷下小电影
讲个事,让你们知道厂商的思考方式。2002年左右,我在一个游戏论坛混,论坛很小,就几十个人都是熟人,其中有个小孩,当时好像14岁的样子,不上学,自学黑客技术,我们还老开玩笑让他给我们写外挂。然后有一天,他在群里说:“我把马化腾的QQ盗了。”我们都以为他在开玩笑,没有在意。过了几天,这孩子消失了,再后来,我们在新闻上看到了他,他真的盗了马化腾的qq,并且给马化腾打***,大意是说:你的qq有漏洞,跟你说一声。然后马化腾是怎么做的?他首先***里稳住小孩,一边夸他厉害,一边直接报了警。这孩子网名叫:朽木自雕,应该还可以搜的到。商人在遇到这种事情时,总是不惮以最坏的恶意去推测对方的目的,这是本能。
已有帐号?
无法登录?
社交帐号登录精华0主题在线时间0 小时最后登录UID1097482积分10金钱5 贡献1 人气0 人品0 帖子威望0 阅读权限10注册时间
新手上路, 积分 10, 距离下一级还需 40 积分
UID1097482积分10金钱5 贡献1 人气0 人品0 威望0 帖子阅读权限10注册时间
我也是每天看贴无数,基本上不回贴. 后来发现这样很傻,很多比我注册晚的人金币都比我多,于是我就把这段文字保存在记事本里,每看一贴就复制粘贴一次.顺便帮lz把贴子顶上去” 我现在觉悟了,为什么不回帖赚点金币呢
精华0主题在线时间9 小时最后登录UID1097068积分50金钱25 贡献8 人气0 人品0 帖子威望0 阅读权限20注册时间
注册会员, 积分 50, 距离下一级还需 150 积分
UID1097068积分50金钱25 贡献8 人气0 人品0 威望0 帖子阅读权限20注册时间
我也是每天看贴无数,基本上不回贴. 后来发现这样很傻,很多比我注册晚的人金币都比我多,于是我就把这段文字保存在记事本里,每看一贴就复制粘贴一次.顺便帮lz把贴子顶上去” 我现在觉悟了,为什么不回帖赚点金币呢
精华0主题在线时间16 小时最后登录UID947201积分50金钱25 贡献10 人气0 人品0 帖子威望0 阅读权限20注册时间
注册会员, 积分 50, 距离下一级还需 150 积分
UID947201积分50金钱25 贡献10 人气0 人品0 威望0 帖子阅读权限20注册时间
我也是每天看贴无数,基本上不回贴.
后来发现这样很傻,很多比我注册晚的人金币都比我多,于是我就把这段文字保存在记事本里,每看一贴就复制粘贴一次.顺便帮lz把贴子顶上去”
我现在觉悟了,为什么不回帖赚点金币呢
精华0主题在线时间5 小时最后登录UID1099285积分26金钱13 贡献3 人气0 人品0 帖子威望1 阅读权限10注册时间
新手上路, 积分 26, 距离下一级还需 24 积分
UID1099285积分26金钱13 贡献3 人气0 人品0 威望1 帖子阅读权限10注册时间
拿分走人谢谢
精华0主题在线时间453 小时最后登录UID1078471积分742金钱371 贡献143 人气3 人品0 帖子威望5 阅读权限50注册时间
高级会员, 积分 742, 距离下一级还需 258 积分
UID1078471积分742金钱371 贡献143 人气3 人品0 威望5 帖子阅读权限50注册时间
唉················
精华0主题在线时间0 小时最后登录UID1101998积分8金钱4 贡献1 人气0 人品0 帖子威望0 阅读权限10注册时间
新手上路, 积分 8, 距离下一级还需 42 积分
UID1101998积分8金钱4 贡献1 人气0 人品0 威望0 帖子阅读权限10注册时间
我也是每天看贴无数,基本上不回贴. 后来发现这样很傻,很多比我注册晚的人金币都比我多,于是我就把这段文字保存在记事本里,每看一贴就复制粘贴一次.顺便帮lz把贴子顶上去” 我现在觉悟了,为什么不回帖赚点金币呢
精华0主题在线时间3 小时最后登录UID1103087积分16金钱8 贡献3 人气0 人品0 帖子威望0 阅读权限10注册时间
新手上路, 积分 16, 距离下一级还需 34 积分
UID1103087积分16金钱8 贡献3 人气0 人品0 威望0 帖子阅读权限10注册时间
我也不知道 我来看看的
精华0主题在线时间12 小时最后登录UID1107669积分98金钱49 贡献7 人气0 人品0 帖子威望0 阅读权限20注册时间
注册会员, 积分 98, 距离下一级还需 102 积分
UID1107669积分98金钱49 贡献7 人气0 人品0 威望0 帖子阅读权限20注册时间
我也在很努力的回复帖子只是想涨阅读权限!看什么都是阅读权限在70以上什么时候才能到
精华0主题在线时间0 小时最后登录UID1107848积分6金钱3 贡献1 人气0 人品0 帖子威望0 阅读权限10注册时间
新手上路, 积分 6, 距离下一级还需 44 积分
UID1107848积分6金钱3 贡献1 人气0 人品0 威望0 帖子阅读权限10注册时间
很努力的回复帖子只是想涨阅读权限!看什么都是阅读权限在70以上什么时候才能到啊
精华0主题在线时间88 小时最后登录UID361450积分726金钱363 贡献17 人气17 人品0 帖子威望0 阅读权限50注册时间
高级会员, 积分 726, 距离下一级还需 274 积分
UID361450积分726金钱363 贡献17 人气17 人品0 威望0 帖子阅读权限50注册时间
我也在很努力的回复帖子只是想涨阅读权限!看什么都是阅读权限在70以上什么时候才能到啊
就想低调的玩F
