白帽子為什麼不把漏洞直接發給廠商,而選擇發到烏雲上面?

這是一個很嚴肅的問題,也是一個別人質疑白帽子的時候,提出得最多的問題:

你們為什麼不把漏洞直接發給廠商,而選擇發到烏雲上面?


很多年前,廠商們認為報告者不應私自泄露信息,有義務無限等待;自己則有很多苦衷,所以有權力無限拖延。

現在,多數大公司還是比較講理的,但發封郵件長期得不到回復的情況並不罕見,一個漏洞補好幾年的情況也並不罕見。個別不講理的,會給你回一封信,信里明確告訴你:

1、這漏洞具體什麼能確認,什麼時候能處理,我們不會告訴你。

2、也別來信問,問了我們也不回。

3、你不能私自泄露。

別笑,這事兒是真的,公司也真的是大公司,是你們人人都知道的一個大公司,是一個如果說出公司名字就會有無數血粉鞋都顧不上穿跑過來罵我的公司。

小公司就甭提了。


大哥, 你家網站有漏洞!

你丫管得著嗎?

大哥, 你家網站有漏洞!

你想幹嘛?我警告你啊,我家丟東西就賴你.

大哥, 你家網站有漏洞!

.....

大哥,醒醒,醒醒

....

大哥, 你家網站有漏洞!

警察,警察,我家門口有小偷.

大哥, 你家網站有漏洞!

小子,我家沒漏洞,別想騙我錢.

============ 後來 =====================

大家快來看, 他家網站有漏洞~~~~~

沒有,沒有,我家都修好了.

大家快來看, 他家網站有漏洞~~~~~

馬上修,馬上修...

大家快來看, 他家網站有漏洞~~~~~

哥哥,給你錢,下次別公開說行嗎?

大家快來看, 他家網站有漏洞~~~~~

不錯,發現的很及時,獎勵你20Q幣.

...


個人經驗:還是不要作死的自己去聯繫廠商。我先前發現一家售賣汽車GPS電子產品的網站存在漏洞,那天吧,腦子一熱,好心的去給那家公司打了電話(用了自己的手機打的,沒想到用公共電話什麼的),向他們告知他們公司的網站存在漏洞,讓他們儘快修復。告知完了我就被威脅了!被威脅了!他們公司的人後來下午打電話給我和我說了一大堆,簡單的意思就是:既然是你發現的漏洞,你就得幫修復,不然就報警抓你。

當時我聽完,心裡一萬頭草泥馬奔過,這什麼鬼,我一沒向你們要錢,二沒改動任何數據,完了我還幫你們仔細分析了漏洞。我好心告知,結果被狠狠的威脅。掛了電話,我差點就哭了,這造的什麼孽,要是我不修復好,我一正值大好青春的小丫頭就得被警察叔叔抓了。唉,最後,熬了倆通宵,終於把漏洞給修了,求神拜佛的把那姑爺爺送走了。到現在為止,想想還心有餘悸。所以,還是提交烏雲吧,畢竟劍心蜀黍是大神,佛光普照,驅散惡靈,至少木有人敢威脅你,不僅木有威脅,你還能拿到money和烏幣,還能用rank炫耀一把,這不挺好的嗎!珍愛生命,遠離作死!

最後,送你兩副對聯:

上聯no zuo no die why you try

下聯no try no high give me five

橫批: let it go!

上聯:no zuo no die why you cry

下聯:you try you die don"t ask why

橫批:just do it!

-------------------------------好些人贊,我就匿了吧,大牛太多了


我來說一下,在烏雲沒出來之前,或者說烏雲還沒影響力之前,整個圈子是怎麼一個玩法吧。

1.

兩年多前,朋友發現一個大站後門(真的是後門,開發留的,cmd=XXX丟伺服器跑一晚居然真跑出一句話),然後幾個人去內網轉了一圈,有沒有收穫就不說了。最後我拿小號加了那開發的qq跟他說這事情,他讓我自己玩就行了,別到處跟人說。

2.

1上面的例子再早一點的時候,我花了一個月時間去研究一個很著名的行業軟體,人生第一次寫了正規的代碼審核報告,先把自己出的修復方案發給老師先去修復(我們也用這玩意),然後郵件和微博找了他們的官博、技術負責人(貌似還是CTO),等了一周後得到客服的回復:我們的產品經過了嚴格的內部code review,產品沒問題,你別來搞事啪啪啪之類的話。。到現在我也沒搞清楚他們到底有沒有看了我寫的報告。-1day跟人玩了一年多,最後終於漏出去了。廠商這時候開始忙活。

3.

發漏洞給廠商然後給廠商陰了一把的舉手吧

-------------

對白帽子來說,烏雲這些第三方平台的存在,就是為在整個生態鏈中處於弱勢的白帽子提供中立的、可以跟廠商對話的平台。

題主可能是覺得烏雲這類第三方是在給白帽子/灰帽子/黑帽子充當保護傘的角色。這種想法有點太簡單和理所當然了。


講個事,讓你們知道廠商的思考方式。

2002年左右,我在一個遊戲論壇混,論壇很小,就幾十個人都是熟人,其中有個小孩,當時好像14歲的樣子,不上學,自學黑客技術,我們還老開玩笑讓他給我們寫外掛。

然後有一天,他在群里說:「我把馬化騰的QQ盜了。」

我們都以為他在開玩笑,沒有在意。

過了幾天,這孩子消失了,再後來,我們在新聞上看到了他,他真的盜了馬化騰的qq,並且給馬化騰打電話,大意是說:你的qq有漏洞,跟你說一聲。

然後馬化騰是怎麼做的?他首先電話里穩住小孩,一邊誇他厲害,一邊直接報了警。

這孩子網名叫:朽木自雕,應該還可以搜的到。商人在遇到這種事情時,總是不憚以最壞的惡意去推測對方的目的,這是本能。


十幾年前,我還中二那會兒,挖過百度貼吧一個漏洞,可以泄露所有註冊用戶郵箱地址的。

鼓搗了半天,給百度認認真真發了封很長很細的郵件,結果人家鳥都不鳥我。

當時我就覺得,我這是何苦呢。

--------------

現在看了這題里的各種回答,覺得當初沒收到傳票已經算是走運了吧。

要是那會兒有烏雲,會不會賜我個吧主噹噹,就當獎勵我70w了?


很多年前還沒有烏雲的時候,我發現了一個團購站的小漏洞,然後拿下了他們的簡訊平台完了幾天(大概就是給自己給同學發幾條測試簡訊),覺得沒意思了也就沒管,那時候也沒有提交漏洞的意識。

然後,過了大概三五天,突然來了個簡訊到我手機,說什麼我黑了他們的網站,要我負責之類的,還說要給我發律師函。當時我直接嚇尿了,一是沒見過這麼大陣仗的,二是也從來沒被這樣突然發簡訊。

接下來我們就開始談,在下當時才16,被他嚇得臉色發白躲在樓梯間里一下午都沒敢出去。最後他說讓我賠償五萬元,不然就走法律途徑,之後我就沒理他了,一來已經被嚇成傻逼了(沒發超過200條簡訊居然要5w),二來也算是僥倖心理,不過最後他也確實沒有來找我。

最後,我社工了他一段時間,發現他這樣問我索賠之前一個月,他們的公司才剛被曝光團購欺詐,不知道問我要錢是因為公司經營不景氣還是如何,總而言之事情已經過去五年了,他的網站也已經沒了,現在也不糾結這些了。

最後我還想寫點,在下沒有什麼高學歷,也虧得小時候父親喜歡科技買了電腦我才能學到這些技術,當時被威脅的時候真是被嚇得不要不要的,半年都沒有睡好覺,也許是因為我太慫,不過這件事說到底我也不對,也許這就是報應?

。。。不好意思我還想寫點更早以前的事情。。。

大概是初一?我擼了一個網站,什麼網站不記得了。總而言之擼下來之後我去管理員桌面留了我的QQ,想通知他有漏洞。結果管理員一過來就劈頭蓋臉一頓罵,直接問我勒索5000元(畢竟我也沒幹壞事,說勒索不過分吧),當時年少氣盛,也沒想太多,就上去幫管理員維護了一下分區,大概就是幫他把D盤格式化刪除這樣,之後我就把他拉黑然後再也沒管他了。

說了這麼多,孰是孰非大家自己評判吧。我並不認為我做的事情很對,但我也不認為自己錯的多離譜。

另外舉個好的例子吧。我花了大概一周時間滲透了我所在的城市的教育局,已經可以控制所有的學籍資料的地步。然後我用同樣的方法給他們的管理員留了我的QQ。他很快就聯繫上我了,我就把漏洞細節都告訴他了。過了幾天,教育局給我家裡和學校打電話,表揚我做得好,時年初二吧。後來聽說那位管理員以後都會在自己桌面上留QQ了。後來他還請我出去吃飯,我們現在已經在一起很久了。


1:官方的態度不明確。不知道這是一個勇於接納自己錯誤的廠商還是一個第一想法是「我被黑客入侵了,我要報警」的廠商。或者是你的郵件發過去直接石沉大海了,如果你聯繫到的人不是企業安全負責人,人家根本就覺得漏洞是什麼呀,好像和我沒有關係呀(哪怕是聯繫到開發也有很多這樣的態度的呢,能直接聯繫到企業安全負責人還是有一定難度的並且有些企業根本還沒有負責安全的人啊)

2:我們是真的想要企業解決安全問題呀。即使現在有各種src收自己企業的漏洞,他們還是有一些「我們要把用戶的頭埋進沙子里,做一隻看不見漏洞的鴕鳥」的目的,src的漏洞不會公開,這樣用戶也無法知道自己的信息是否還是安全的,有些漏洞修復成本較高可以直接放棄修復(僅僅是較高並不是很高哦)。

3:烏雲的技術交流氛圍很好,我能在好的氛圍里好好學習,參與到大牛們的討論中我能學到更多。

4:通過烏雲展示自己的能力對以後的發展也有一定好處,比如現在不少企業的安全崗位招聘會說明「有烏雲賬號者優先」等。

最後,謝謝邀請。另外,以上的回答均有事實依據的,說我胡亂猜測的人一律拉黑。


我說說個人的想法:

我已經有一份穩定的工作,我愛好安全而又沒有任何壓力驅使我使用我的技術去謀取非法利益,我能夠以正確的渠道展示自己獲得更高的榮譽和工作機會。縱觀國內現狀,如果我將漏洞提交給廠商,他們必定會將信息封閉處理,不讓任何人知道。

信息的嚴重不對稱,會導致整個行業的安全現狀很難得到改善,白帽子將漏洞提交到烏雲平台上,不但可以使廠商及時修復存在的問題,後期漏洞信息的公開,還可以為更多廠商的技術人員提供參考,不犯別人犯過的錯誤。

烏雲提供了一個尊重、開放的第三方渠道,我能夠在這裡認識到很多優秀的人和他們交流獲得提升。

有多少社區會願意選擇讓一個跟自己的文化基調極不相符的人加入呢?人際交往和技術交流不是一廂情願,而是「禮尚往來」。想結交業界精英,必須先讓自己名列其中,大多時候,沒有人會願意浪費時間和不在同一層次,沒有共同語言的人做交流。

只有在開放的第三方提交漏洞,我才能證明我和他們一樣優秀,才能結交更多優秀的人,才能有更大的進步,這就是我為什麼將漏洞提交到烏雲的原因,也是我後期持續提交漏洞的內在驅動力。

烏雲的白帽子群體生態,使大家逐漸放棄了個人利益,免費提交自己發現的漏洞,同時通過閱讀他人提交的漏洞並思考後改進再提交。這個社區能讓我們所有人走得更遠。


一句話:因為很多廠家連官方CERT聯繫人都沒有設立。

第二句:大家都怕法務糾纏不清。


0.很多廠商只留有客服聯繫方式,而客服又根本不知道什麼是漏洞,根本沒辦法直接聯繫廠商啊。

1.和廠商聯繫之前,任何人都不知道廠商的態度。萬一對方重視的不是修復漏洞,而是被發現漏洞要來打官司,我想任何一個人都沒有那個精力去頻頻應對廠商的一整個法務團隊。而提交給WooYun,只要自己確實沒做出格的事情(脫褲之類的),大可放心。

2.WooYun不僅僅是一個漏洞平台,還是一個社區。在社區里有各種有趣的討論,可以結識更多小夥伴,這些都是直接提交廠商做不到的。

3.WooYun所有漏洞都是會公開的。通過研究別人的漏洞,可以提升自己的水平,而這一點在別的漏洞平台or企業SRC都是沒有的。雖然企業SRC的獎勵更可觀,但是我認為相互學習更加重要一些。

4.證明自己的能力。現在WooYun知名度越來越高,WooYun的rank也越來越被企業承認,甚至成為了一些企業安全崗位招聘的要求之一。

5.WooYun有眾測。只要能力足夠,參加眾測挖幾個高危,外快大大的有。

6.WooYun有知識庫。只要有能力,對技術有獨到的見解,發表文章分享技術,既能自己重新梳理技術點,又能證明自己的能力,還有獎勵可拿,何樂而不為呢?


感覺跟扶老太的法官邏輯一樣:你要是不懷歹心幹嘛去測試別人漏洞,出了問題你一定是罪犯


作為一個剛剛正式入職的安全新人來說,我是這麼考慮的。

1.很早以前,拿下網站,我一般都私自幫他們修復了。遇到實在修復不了的,那就通知他們,不求回報。

2.提交給烏雲是因為,大家都去那提交,而且要進入zone就得提交。

3.現在很多企業面試安全崗位時都會問你有沒有在烏雲提交過漏洞。

至於為什麼不再提交了

1.沒有工具,實在耗時耗力。

2.不再需要通過烏雲證明自己了,某些高rank的,也不代表你有多牛逼,我指某些。

3.越來越多的高中生湧入。

最後再說下烏雲和補天吧。

看到陸羽還過來做公關,真是無語了。

烏雲教會了大家什麼是安全,怎麼挖掘安全。我不知道有多少人從這學到了知識,但是至少我是這樣子的。

至於補天嘛,你懂的。


2008年以前我還是程序狗一隻。

因為眼睛和頸椎狀況,2009年轉市場,2010年轉產品。

2012年,無意間發現常去的某12萬註冊用戶的網站有個隨意提升用戶許可權的漏洞。

沒細究原因,只是隨手私信了管理員,告訴他漏洞類型和體現方式。

對方回復說我騙人,根本不存在這個漏洞,讓我不要危言聳聽(省略諷刺語句若干)。

我很委屈,打電話給網站留的聯繫號碼,想要爭辯一下。

電話里弄清楚,原來網站的運維是外包出去給S公司的,而這個聯繫電話是網站實際所有人Y公司的。

電話里Y公司的接線員表示,會去敦促S公司解決這個問題,又說雖然她不懂網站的事情,但是對我的關心和認真態度表示感謝。

我以為這就算完事兒了,心情也好多了,很滿意。

但是事情沒有就此結束。

第二天,我司HR找我談話,,,

說接到舉報,我上班時間瀏覽與工作無關的網站。

記處分,扣當月獎金。

對,你猜到了。

S公司的人通過我註冊賬號時留下的郵箱,查到了我所在的公司,

然後,他們居然直接打電話給我司的HR,

居然告發我上班時間瀏覽他們的網站,

並且說我在上班時間打很久電話給不相關的公司,

居然還向HR暗示我是個黑客,要小心我搞破壞,噗。。。

我當場申請辭職,一個月之後投簡歷跳槽到Y公司。

工作之餘研究這個網站存在的各種問題

(現在我是Y公司的人,這便是自己公司的網站了,終於上班也能訪問,不怕被舉報了,哈哈哈哈)

三個月後,S運維公司由於被發現各種不作為/糊弄/數據造假等等,一大堆瀆職類的原因,證據確鑿,丟掉了自己最大的長期外包訂單,損失慘重。

我現在是Y公司的某省分公司的負責人,後遺症是每年要額外去1276.3km之外的總公司好幾次,參加有關網站和PMS運營和改版之類的無聊會議。

xzxzxzxzxzxzxzxzxzxzxzxzxzxzxz

沒關係,就當是段子看吧,或者當我胡扯也行。


每次我提交網站漏洞,總是希望能夠儘可能幫助到企業一些,而為什麼不直接提交給廠商的原因無外乎兩點:

  1. 挖洞是我的強項,但是與人溝通並不是我擅長的,尤其是跟陌生人(廠商)
  2. 我時間真的有限,有些廠商的安全負責人的確不認識,也無從獲得聯繫方式,與其浪費在找聯繫方式上,我還不如多挖幾個漏洞

看了樓上一些人的回答,我想談談我眼中的補天和烏雲。

作為一個在補天和烏雲都學習過的白帽子,我個人覺得烏雲更像是一所學校,在這裡可以學到更多知識,當然這些知識有好有壞,就看怎麼引導了。而補天更像是企業,從學校畢業後你需要進入社會,進入企業,運用自己所學去獲取報酬,從而實現自己的個人價值,進一步是自己的社會價值。

因此不管有沒有從學校畢業,人總是要進入社會,努力回報社會的。


信息安全行業欠缺一個比較公平的黑客與廠商雙方接觸渠道,而烏雲恰好填補了這片空白。


因為習慣那個平台了


簡單說一下 黑客發現了漏洞有幾種處理方法

1、白帽子,友情檢測,發現漏洞首先發郵件給管理員,等管理員修復後,再把漏洞公開,供大家學習

2、白帽子,發現漏洞,管理員不理,等半個月,公開漏洞以及解決辦法

3、黑帽子,發現漏洞,先提權,脫褲,看看有沒有值錢的,過幾個月 錢賺夠了,就丟在這裡了

4、黑帽子,發現漏洞,先提權,脫褲,看看有沒有值錢的,過幾個月 錢賺夠了,然後公開漏洞======

這事 要放在我們那個年代,哪裡有人想著賺錢,先是把自己準備已久的大黑頁掛上去,說大爺我到此一游,然後留個後門,然後告訴管理員你有個漏洞啊,然後就不管了 偶爾上來看看網管有沒有在機房偷偷下小電影


就跟出了個產品寫個評論一樣啊。安全需求也是功能的一種。

然而跟廠家聯繫是得不到太多重視的,比如大家喜歡的Google也一樣……

所以……就發表咯,也不一定非得發表在烏雲一家,比如大家喜歡的blackhat上也能發表呀~~(≧▽≦)/~


我來還原一下廠商的心態,大家聽聽是不是這麼個理。

假設有一戶人家,生活的還算和美。這時你作為村裡的閑散人員,發現了他們家的一個漏洞。兒子不是親生的。這時你去告訴他家,還拿出了隔壁老王的日記作為證據。這時你覺得他們會感謝你嗎?他們肯定是想殺了你滅口。至於他們兩口子怎麼打架那是後話。

所以你在得知了秘密有忍不住想說的時候,就只能和村裡的其他閑散人員說了。


推薦閱讀:

win7電腦被黑客入侵後,電腦在不連網的情況下還能被黑客錄像,然後在聯網後發送出去么?
黑色產業價值是什麼意思?
實現電子遊戲ACE(Arbitrary Code Execution)的具體原理是什麼?
如何發展成一名黑客?
如何看待盤古推出的 iOS 8.1 越獄?

TAG:網路安全 | 黑客Hacker | 漏洞 | 烏雲WooYun | 白帽黑客WhiteHat |