如何看待360補天漏洞響應平台做秀把美的的漏洞全部曝光的事情?

如何看待360補天漏洞響應平台做秀把美的的漏洞全部曝光的事情?


謝邀

事情已經平息

曝光的事兒吧,確實補天欠考慮了。以後以此為戒吧

作為一名白帽子還是希望踏踏實實,安安靜靜的提交漏洞,名利雙收!


如果一個漏洞收集平台,既不能給白帽子安全感,又不能給企業安全感,這與強盜有什麼區別?


補天把部分烏雲早就報過,廠商早就確認,而且早就已經修復的漏洞,一股腦的,跟補天上自己的漏洞做了個合集全部報了一遍。

評論區有人提醒,有些漏洞是一稿多投了。

然而,目前烏雲上廠商收到並處理的漏洞大概有一百多個,補天上只有幾十個,究竟哪邊是主流難道不是一目了然?

一個漏洞平台,在沒跟廠商溝通確認修復的情況下直接這樣張揚地爆漏洞,真的是對用戶負責的態度嗎?

為了出名啥都不顧了,360想做企業級市場,還是要好好學習怎麼尊重用戶,而不是動不動就勒索威脅。

看把人家甲方給折騰的:

利益相關:美的終端信息安全長期供應商

有趣啊有趣,我說你們僱傭水軍小號能不能稍微專業點?這不是三零用戶,這是八零用戶,還從來沒見過在知乎這麼沒有存在感的小號。


曾經和一位大型央企集團信息安全負責人聊天,

他門團隊負責集團所有子分公司的信息系統的安全測試,

某安全眾測平台報集團下屬公司系統漏洞時,

他的結論是這幫年輕人是無知者無畏。

怎麼這麼說呢?

第一,

平台報的漏洞他們早都發現了,

但解決問題不是那麼容易的,

這是需要一個過程的,

尤其是對於超大型企業。

第二,

掌握著國家命脈的企業,

信息系統漏洞如果一旦被利用,

可能產生不可預估的影響,

而毫無節制的向公眾曝光漏洞對企業安全毫無益處。

以上兩點是他的看法。

其實,

信息安全絕不僅僅是發現漏洞而已,

這位常年在甲方從事安全工作的老兵所說的令人深思。


我覺得,360總是那個作風,按他老總的話,要促使別人進步,促使別人去改變,不過這方法,總是讓人看不過去。


個人認為,在朋友圈內截圖發布整篇文章是對廠商的二次傷害,但是沒有「一次傷害」哪來二次?補天此次行為實在是對自己那個什麼「白帽行為準則」的打臉...白帽到底是什麼?不管哪個平台 讓廠商接受自己的漏洞接受自己的安全現狀並去改變它,這個絕對是對的,但是不應該用這種兩敗俱傷的方式,既影響了企業本身的數據,也讓企業對「白帽」更加不能接納和認同(另外給烏雲說句話,301配圖據說來自友商盒子,到底誰第一時間拿這個在作si呢?)


原文縮略版附上:

原圖編輯為了看起來有段子和有趣,不過腦多想想就放出了大量美的信息的料。補天為了博眼球簡直沒下限! 待甲方太不當一回事兒。做信息安全保護企業的私密信息是必須遵守的。其他平台起碼知道節操不能瞎掉,媒體做得好還得看別家。


360補天就是對標烏雲,就像哈佛H9對標漢蘭達一樣……只要是在補天曝光烏雲漏洞,馬上秒過而且100%有獎金……各種抄襲烏雲的模式(比如眾測)還打心眼裡看不起烏雲(去群里看看就知道了),據我所知,補天70%是一群小學生 腳本小子……


曝光漏洞這事,這次補天的尺度有點大,有待改進,但就此上綱上線不應該;漏洞披露對安全行業是件好事,可以改變目前國內企業和機構對漏洞的態度,也可以幫助白帽子發揮自己的才能,其實補天、烏雲、漏洞盒子還有阿里那個什麼盾,本質上都一樣,運營機制也差不多,這樣的平台越來越多,對安全行業是一件好事。

看了一下評論,貌似是幾個平台之間的相互拆台,在相互炒作,實在看不慣國內這操行,不是想著把這個行業做好做大,而是相互挖空踩泥,所以讓外界看起來一地雞毛。

補天這次有炒作嫌疑,什麼盾的那幾位上躥下跳無非想趁低炒作做,下限比補天還低。

國內目前對安全還不重視,所以企業和機構的系統漏洞遍地都是,目前缺少的就是有能力、有質量的白帽子,應該有更多的平台出現,為白帽子提供空間,也帶動更多的人加入白帽子隊伍。


唯有時間,會說明一切。就像那大浪淘沙。


老老實實挖洞,經常發現很多漏洞廠商已經確認,而且都已經對公眾開放,但是漏洞還是存在,真不知道怎麼辦了。。。。


樓上要知道,301已經不在烏雲了。


你們吖又不是不知道我是全球出了名的流氓企業我怕誰!


如果一個漏洞收集平台,既不能給白帽子安全感,又不能給企業安全感,這與強盜有什麼區別?

我必須要贊一下這個回答!和我的想法一樣。

作為一個白帽子,看到這篇文章和95zz一樣,首先我想到的是提交漏洞的白帽子的安危,甚至我還慶幸過還好我沒在補天提交過美的的漏洞。

白帽子提交漏洞到平台,一般都需要簽署協議或遵守相關的行為規範。在補天的白帽子行為規範裡面就有這麼一條「不得利用補天漏洞響應平台進行任何可能對廠商、互聯網或移動網正常運轉造成不利影響的行為」(圍觀地址:白帽子行為規範)補天作為規則的制訂者,自己首先不遵守自己制定的規則,陷白帽子於不仁不義中,讓像95zz這樣的兄弟為自己的安危所擔心。簡直是沒有底限到了極致了。

再說這篇文章對企業的影響:

剛看到朋友圈在轉這個圖片的時候,除了擔心自己,第二反應就是本能心疼美的這個企業。補天發這篇文章的目的到底是什麼?刷存在感還是秀智商下限?如果真的像文中說的一樣,只想讓企業快點修復漏洞,有必要如此大張旗鼓,公開喊話嗎?漏洞細節被公開,引起了黑產關注怎麼辦?這些信息的公開,給企業和消費者帶來的損失遠比想像中嚴重。

綜上,補天太危險,沒底線,我是不會再去了。烏雲漏洞收集平台同理。

幾個眾測平台,烏雲眾測、漏洞盒子相對而言對隱私的保護會好一些。最近表現比較搶眼的是雲盾的先知計劃,白帽子圈裡口碑不錯,發獎金也十分爽快。


是不是應該考慮公開提交的所有漏洞的細節了?

不用再打著保護廠商的隱私的旗號了吧:) 逃。。。。。


漏洞盒子相比下還比較務實


這次補天披露美的漏洞,披露信息過多不嚴謹,不過事後秒刪避免了給美的造成傷害,但是什麼盾的幾位安全人員截屏後四處傳播,就有違安全行業的職業操守,一方面號稱自己保護用戶和白帽子隱私,而另一方面大肆傳播這些信息,無非想藉機炒作什麼盾。如果補天失誤是小錯,那麼什麼盾的那幾位惡意傳播就是大惡。

保護用戶和白帽子的隱私是所有漏洞披露平台應付的責任,也是安全行業的道德準則,這些隱私不僅包括自己平台上的,也包括整個行業的


1、請問題主,如何看待朋友圈或者微博中同學們(作秀)曬自己做的美食?

是不是覺得把「作秀」這兩個字放在題目中明顯是有意引導?

2、就題目中的圖片信息來看,所有敏感部分都打了馬賽克,注意保護用戶隱私,沒有問題。

3、補天這件事沒啥不對的,無非就是想提高下補天的知名度,引起企業對安全的重視,但是!!! 被一小撮別有用心的人(正常商業競爭?)給放大、扭曲和曲解了。

題外話,在安全行業也算是做了小三年啦,行業內真是各種魚龍混雜,良莠不齊,真心希望能有一家良心企業做好、做大、做強。


shotgun真是玩的666,啟明星辰的大vp的竟然刪我小白用戶的評論。


其實這個事情廠商和平台都有責任,廠商對待安全的態度確實讓人捉急,看了烏雲上美的廠商的回復各種嘲諷白帽子,也是夠了,而且剛才看到美的去補天確認了漏洞,我就想問廠商,沒曝光之前幹嘛去了。對於補天,我感覺也是無奈之舉,不過做法是有點太過火了,估計不光會被美的說,背不住烏雲也會拿這個事來說事,至少在烏雲的群里已經看到烏雲眾測的楊蔚發的截圖,競爭對手也是不會放過補天的,哈哈哈,看你們撕逼吧,持續關注中

_@shotgun 為啥一定要說是補天的白帽子脫褲呢,你看到了?不要帶有有色眼鏡,一堆黑客對烏雲公開漏洞虎視眈眈,我很質疑你回答這個問題的立場,還有你的回答關閉評論幹什麼呢,心虛么,既然覺得自己很牛逼,說話就應該實事求是,建議相關平台對他的言行追求相關責任,截圖保留證據


推薦閱讀:

QQ「你可能收到一條假消息」是如何實現的?
加入電子科大的凝聚工作室是一種怎樣的體驗?
如何評價網易雲音樂被掛馬編譯器掛馬?

TAG:信息安全 | 漏洞 |