向WY提交厂商漏洞被查水表怪谁?北京网络安全培训
i春秋(ichunqiu.com)是一个提供专业的网络信息安全技术、网络安全工程师培训、网络安全教程培训中心, 致力于培育安全人才和信息时代的安全感。爱春秋网络安全培训中心提供最新的网络安全视频和最先进的信息安全技术知识,为网络安全培训课程提供一个贴近实际环境的安全实验平台。爱春秋,更安全!
故事要从一位父亲写给第四届网络安全大会的信说起,这位父亲在信中提到自己的儿子向Wooyun提交了世纪佳缘的一个SQL注入漏洞,因为测试注入跑了4000条用户的信息,导致被儿子抓,这位父亲表示不能理解为啥自己的儿子会被查水表。
根据信件中白帽子的信息,找到具体的漏洞应该是下图中的:
作为一个Wooyun的白帽子,感觉这位白帽子同学挺悲催的。其实Wooyun上有很多白帽子小伙伴都比较年轻单纯,不知道社会的险恶,作为白帽子中的大龄屌丝,很有必要分享几点需要谨记的内容给小鲜肉白帽子:
1,所有未经授权的渗透测试都是违法的;
2,厂商有权力对攻击渗透入侵自家信息系统的行为进行追究;
3,Wooyun主站跟主站厂商之间没有合同约束,是Wooyun厂商并不能代表厂商就允许白帽子未授权对自家系统进行渗透入侵测试;
4,查不查白帽子的水表取决于厂商的态度及白帽子的节操,厂商的态度是重点;
5,给Wooyun上的厂商提交漏洞,最好点到为止,会不会被查水表同样取决于厂商的态度;
6,做一个有节操的白帽子,态度很重要,真正做到只是为了给厂商反馈漏洞;
7,厂商很痛恨白帽子恶意刷同一点漏洞,还有白帽子夸大漏洞标题的行为。
以上几点都是已知的内容以及个人的看法,再看前文中提到白帽子被查水表的事情,就不难理解白帽子为啥被抓了。
1,未授权渗透测试世纪佳缘的信息系统;
2,渗透测试没有点到为止,获取了4000名用户的信息;
3,夸大漏洞标题,对世纪佳缘造成一定的影响;
4,世纪佳缘曾经发生过被脱裤的事件。
对于有些厂商,白帽子童鞋做了以上的事情,厂商不一定会查白帽子的水表,之所以不查,其实只能说是白帽子运气太好,但是白帽子不能因为运气太好就忘记了前文中的7点实事。大部分厂商还是很希望跟白帽子之间建立良好的关系,毕竟很多白帽子是真心帮助厂商解决安全问题的。
有人认为白帽子被抓,跟Wooyun是有关系的,作为Wooyun白帽子中的一员,我是很难认同这个观点的。Wooyun是一个第三方的漏洞平台,并没有强制白帽子提交厂商的漏洞,白帽子可以自由选择向Wooyun或直接向厂商提交漏洞,Wooyun会通知厂商来认领漏洞,厂商也可以选择是否来免费认领漏洞。
就比如雷锋捡到了别人的信用卡,不知道怎么找失主,然后把信用卡交给了信任的机构,机构知道了失主的联系方式,通知失主来认领,失主发现自己的信用卡被"雷锋"给盗刷了,然后报案查雷锋的水表,这事还能怪机构吗?
个人主观浅见,或许其它人会有各种不同的意见,欢迎转发发表自己的个人观点,同样欢迎各种法律专业的童鞋来分析这个案例,客观判定一下到底怪谁?
另外也欢迎回复反馈以下几点:
1,甲方厂商喜欢什么样子的白帽子?
2,心目中最有节操的白帽子有哪些?
3,没有白帽子群体是不是对厂商更加有好处?
如果想成为网络安全人才并掌握网络安全技术,就来i春秋学习(www.ichunqiu.com),一分钟后咱们见面!
