乌云之后真能见彩虹？

安全圈子里，做的比较好的网站都会经历一定的动荡，比如当年的t00ls，现如今的wooyun。

不同的是，t00ls交流的是各种入侵、渗透测试的经验，经过几次关停之后，最终被某省的网监给收编了，现如今的t00ls已经不是当年的t00ls了。wooyun发展到现在，也成为了安全行业比较有影响力的网站，跟t00ls经历相同的是，也被整顿过几次，不过都是比较短暂的整顿，最近这次整顿时间有点长，目前wooyun主站、众测、zone、drops、wiki、tangscan、三个白帽都无法访问，最终的结果是什么，目前不得而知。

Wooyun没有之后，对很多"痛恨" Wooyun的甲方或者乙方公司来说，是不是真的就可以看见"彩虹" ？今天在朋友圈看到一张图片：

很赞同图片中的一些观点，不过有部分描述：

“我认为，在法律完全无法约束到的黑色地带，乌云正试图建立相对有效的自律机制。不可否认其中是有许多未经法律允许的行为，但对于黑客群体而言，平台只是一座黑色地带与企业和大众沟通的桥梁。”

我不太认同上面的部分描述，wooyun是白帽子与企业和大众沟通的桥梁，白帽子群体，并不是黑客群体，之所以要跟黑客区分开来，一方面，"黑客”这个词语已经不是褒义词了，另外一个方面，白帽子群体做的事情，跟黑客做的黑产还是有很大的区别。白帽子是将发现的漏洞上报给企业，并给出修复的建议；黑客是深入利用漏洞，进行脱裤或者获取服务器权限的操作，并对获取的数据或者权限进行后续的黑产交易，从而获取一定的非法收入。白帽子跟黑客两者的行为有很大的区别，大多数白帽子并没有进行深入的漏洞利用，所有的白帽子并没有利用发现的漏洞进行黑产的交易。如果真有白帽子提交漏洞之后进行深入的利用，遇到像世纪佳缘这样的厂商，就会像袁伟一样……在对白帽子的行为规范方面，wooyun确实做的挺欠缺的。比如应该严格规范白帽子提交漏洞的标题，规范白帽子测试漏洞的深度，可以禁止白帽子碰厂商的数据、服务器权限等，SQL注入漏洞不一定非要出数据才算漏洞。2015年的时候goodwell大牛在安在上发布过一篇有关wooyun的文章：

这么多年下来，乌云对安全漏洞的发布已然是最权威的平台了，一家独大之下，居然没有一个明确的关于安全漏洞等级的定义或标准。这就导致很多白帽子夸大事实，取个不符实际的标题来博取大众眼球，媒体借助这些标题大做文章。白帽子出名了，媒体销量上去了，可“祸根”也就埋下了。乌云的管理者真会不知道这些漏洞到底有几斤几两？一个邮箱暴露就涉及千万用户信息，一个错误日志就导致百万信用卡信息扩散？不得不说，媒体广泛报道的同时，乌云平台定然是最大的受益者，所以，乌云睁一眼闭一眼？这不能不有所质疑。

再来说说利益这个问题。乌云是一个开放平台，其本身对外宣传是非盈利的。但是，毕竟对厂家漏洞信息的删减都是不公开的，掌握这种权利的也仅仅在乌云内部最核心的成员。虽然我很愿意相信这些权利没有被滥用，但到底有没有躲在阳光背后的交易？这很难不让人想起一个词——“潜规则”。只有当乌云公开漏洞信息删减规则以及相关过程，或者设置厂商代表即“陪审员”，也许大家才会相信这里真正的公平公正。

goodwell大牛提出了wooyun的一些不足，从他的观点中可以看出，相比白帽子，他对wooyun还不算太了解，可能跟他不怎么向wooyun提交漏洞有关。对漏洞标题不进行严格规范处理，这点wooyun做的确实比较差劲。不过说wooyun对白帽子提交的厂商漏洞信息进行删减，这点肯定是不存在的，至少这么多年没听说过有人提交的漏洞被删除了，唯一被删除的几次都是受国家有关单位的干预，删除了有关单位的一些漏洞。

没有Wooyun之后对安全行业、厂商、白帽子有哪些不好的影响，个人浅见：

1，安全行业少了一个风向标，从wooyun的很多漏洞，其实能够了解当前一些新型的漏洞利用方法和一些0day的危害程度。比如SSRF的各种新姿势，struts2系列漏洞、魔图漏洞的危害。没了wooyun，安全行业少了一个获取新动向的渠道；

2，wooyun zone、drops有很多整理好的系列文章和常见应用的安全建议，比如密码找回漏洞系列、java代码审计系列、redis、svn等相关的安全建议等。没有了wooyun，甲方的运维、白帽子可能又少了很多学习新姿势的渠道；

3，厂商少了一个免费获取自身漏洞的渠道。很多厂商没有安全团队，想发现自家产品或者服务的漏洞，只能靠乙方的服务来发现。没有wooyun之后，没有预算和安全团队的厂商该如何发现自家产品的安全问题？

4，白帽子少了学习各种真实漏洞案例的机会，对想要入行的新手也多少有点影响。

wooyun成立之后，对安全行业的影响，相信安全从业者们都深有感触，也让很多甲方公司开始重视安全，招安全人才，很多白帽子找工作，简历上也会提到在wooyun上提交漏洞的经历。正如上文图中的内容一下：

同样是一次入侵，如果通过平台公开了入侵细节，企业只会是平台的受益者。不管有没有乌云，漏洞就在那里。若没有平台，入侵仍然数不胜数，而多数企业甚至不会知道自己已被成功入侵。乌云被关停，一座桥梁坍塌，标志着行业自律以及这份犹存的善意不被认可。未来会有更多隐藏在网络深处的、法律完全无法约束到的平台、论坛，有更多的人肆意传播各种后门、漏洞。此时企业除了自顾不暇，花费更高的成本在安全上以外，可能甚至没有得知自己已经被入侵的渠道。你看不到黑暗，是因为有人拼尽全力的把黑暗挡在你看不到的地方。

为什么有一些公司对wooyun抱有怨念呢？很多甲方为了面子，不喜欢wooyun经常报告自家的漏洞，很多乙方公司在wooyun这种免费报告漏洞的模式下，少了很多客户。还有就是前文中提到部分白帽子漏洞标题的问题，抛开这些方面，wooyun的积极意义可能真的需要浮躁的圈子静下心来想想。

你看不到的黑暗，是因为有人拼尽全力的把黑暗挡在你看不到的地方，wooyun就是在做这样的事情。没有了“乌云”，你看到的依旧可能是黑暗，而不是彩虹！

原文始发于微信公众号（毕方安全实验室）：乌云之后真能见彩虹？