在烏雲審核漏洞是一種怎樣的體驗?


「閱盡天下漏洞,心中自然無碼。」 —— 這是我在烏雲的個性簽名。

新鮮的安全漏洞,就如同電影馬賽克下那原始的慾望一樣令黑客們興奮,而烏雲就是這樣一個源源不斷接到漏洞報告的地方。在這裡你可以用「上帝視角」來觀察這個互聯網,一次又一次的刷新你對安全的認知,而你對漏洞的見識以及經驗,也隨著時間潛移默化的增長著。

每天,烏雲都有不計其數的企業漏洞甚至是影響整個互聯網的「0day」漏洞報告上來,所以每一秒都令你充滿期待與驚喜。特別當白帽子報告你正在使用的一些產品或服務存在漏洞,而你的信息可能已經被影響/泄露,那心情才叫酸爽(感謝讓我最先體會這痛楚)!而審核人員要做的則是冷靜並快速的對這些漏洞做出完整性判斷,然後及時的通報給企業,感覺每天都在跟白帽子拯救用戶,拯救企業…

但烏雲的漏洞審核也並非輕點幾下滑鼠就搞定的,自烏雲2010年建站以來,民間的漏洞報告從每日幾個到如今每日數百個,其中漏洞報告者也並非都是安全相關,還有很多來自對安全一竅不通的互聯網用戶。他們對自己的數據以及財產有著異於常人的敏感,而恰巧這些朋友會從很原始的角度發現那些難以察覺的異常,如嬰兒一樣去探索,不會被未知所牽絆。印象中有很多銀行和支付產品的重大漏洞就是此類用戶發現的。而烏雲的審核人員,要有對行業敏銳的感知,才能發現用戶表面描述下隱藏的是潛在重大安全隱患還是普通的程序問題。

當然除了這些,還有一些事情讓審核工作變的很有趣也很期待,比如偶爾會有人提交葷段子上來,我都會認真的讀完(囧);在節假日也會收到一些小祝福讓我們感動;偶爾還會有莫名的調戲,羞~

最後,互聯網本身就是現實社會的鏡面,我們會接觸到很多可愛、可憎或是「迷茫」的人。所以除了技術,我們也會對愛好者進行目標價值的正向引導,聆聽以及滿足他們合理的需求,努力讓整個社區與安全環境越來越好,讓信息技術愈來愈透明,打破安全漏洞與互聯網用戶間的信息壁壘。

「閱盡天下漏洞,心中自然無碼。」 —— 這就是我在烏雲的個性簽名,也希望是大家的:)


閱盡天下漏洞,心中自然無碼。。。


咳咳,審核的人有的麻煩,有時候說我漏洞什麼危害不夠啊,什麼再次核實啊,煩得很。有一次!!!!被封號了…整個人都不好了我分明是先提交好吧…


同一個站同一個洞,我先提不過,後來小夥伴我發現洞,過了……


瀉藥,不知道啥感覺,只知道有時候審核說我的洞描述太簡單,沒有實際危害,有時候說我的洞測試具有攻擊性。。都不讓過


我可以說:有些人審查一點也不認真?

如果有必要我就上圖~

-----------------------------

修改於2015年6月25日 17:00

-----------------------------

2015年6月10日,提交過一個bug,只問過一次:[bug?],我進行了解釋,但到今天2015年6月25日16:30,半個月過去了,也沒有回應,這樣的做事態度是不是很氣人呢?有些不認真,或者說不負責任!

漏洞:不經過認證企業號,不交300塊錢的認證費,也可以成為第三方套件應用提供商。

不過,現在這個bug已經被騰訊修過了!(^_^)


推薦閱讀:

如何高效挖掘Web漏洞?
如何評價 FreeBuf 最近的新產品「漏洞盒子」?
《神探夏洛克》有沒有漏洞?

TAG:網路安全 | 漏洞 | 烏雲WooYun |