烏雲上的白帽子有沒有出現過失誤,造成對方損失的情況?

白帽子在「測試」的過程中,有沒有出現過令對方遭受損失或者生產環境受到影響的情況?


某牛每次報完漏洞都脫人家褲子的事情我會到處亂講?


陳再勝

新網互聯任意域名劫持漏洞可劫持土豆網

報告漏洞後在劫持土豆首頁。


這個問題很有意思,烏雲現在風生水起,知名度越來越高,烏雲成員和各白帽子也都是一些有理想的年輕人,所以在回答這個問題之前,先對烏雲表達我的肯定。

但是,在烏雲模式目前確實有一些潛在的風險,而且這些風險並非技術細節的風險,是業務模式的風險,烏雲更進一步的發展或者長期有效的發展,這些問題是不能迴避的。主要的風險包括:

1.人員可靠性風險:目前烏雲主推的口號就是白帽子黑客,但是目前只是在道德層面來保證白帽子是不作惡的,但如何保證這個機制是有合規機制的,或者對白帽子如何進行有權威性的認證體系。

2.法律合規性風險:涉及到黑客入侵、工具提供等內容嚴格來說是觸及法律問題的,系統的滲透測試、漏洞挖掘與黑客入侵的邊界是什麼,這個界限是非常模糊,並不能說自己是為了漏洞的挖掘、推動安全行業就隨便測試系統,那麼測試授權、法律合規這些是必須要考慮的。

3.漏洞信息濫用風險:目前所有安全漏洞從發現到彌補是需要一個周期的,並且目前黑客攻擊攻擊工具越來越多,入侵系統所需要的技能也在趨於降低的趨勢,這兩點綜合考慮如何確保漏洞信息不被濫用也是非常關鍵的。

這些只是我作為一個信息安全管理顧問的角度的想法,烏雲目前已經有了一個好的平台,但是烏雲的模式還沒有考慮閉環的一個體系,如何考慮到這些問題烏雲必然會上一個台階。


過分了就進去了,所以現在關站了


雖然我個人很喜歡有烏雲以及烏云為白帽子提供了這麼一種平台,但是其依然存在一些尷尬,如果樓主提的這個問題一樣。

前一段時間烏雲不是被稍微黑了一下嘛,本質上也抓住了烏雲現在可能存在的一個最大的尷尬,烏雲上的這些白帽子的身份如何在法律層面上被鑒定或者得到授權。一般安全服務公司為甲方在做滲透測試的時候需要獲得甲方的正式授權。

再打個比方:一個地主的家,家大業大,有路人發現這地主家的外面某個牆壁(地主家自己也不知道自己的到底外面是哪個牆)上出現了個洞,路人是先進去看看然後報給主人還是直接報給主人,如果是前者就是非法侵入了,如果是後者也有可能會出現被主人當賊的情況,主人還得擔心這個路人是不是「良民",是」良民「的話又怎麼會未經許可進入人家的房子。

另外烏雲自身的存在的尷尬,一個是國家政府層面是否認同,另一個就是其業務模式有沒有漏洞,畢竟如果是建立在道德層面上的利益分配面前就好比將老鼠關在糧倉里一樣不靠譜。

希望烏雲能很好的解決的這些問題,事業更上一層樓。


對數據的截屏什麼的現在根本沒有多高深的技術可以去發現痕迹,一份數據被展現出來,是不是已經被某些人倒了好幾手再去來一波rank也說不定。


有人稱,烏雲是國內最大的黑產訓練基地。


推薦閱讀:

滲透測試網站的過程中,哪個環節容易踩線?又該如何避免踩線?
來說說我學網路技術的那幾年
伺服器VPS安全防護

TAG:網路安全 | 滲透測試 | 白帽黑客WhiteHat |