连载一:向Wooyun提交厂商漏洞被查水表,怪谁?

admin 2022年4月19日22:30:50评论20 views字数 1527阅读5分5秒阅读模式

故事要从一位父亲写给第四届网络安全大会的信说起,这位父亲在信中提到自己的儿子向Wooyun提交了世纪佳缘的一个SQL注入漏洞,因为测试注入跑了4000条用户的信息,导致儿子被查水表,这位父亲表示不能理解为啥自己的儿子会被查水表。

连载一:向Wooyun提交厂商漏洞被查水表,怪谁?

连载一:向Wooyun提交厂商漏洞被查水表,怪谁?

连载一:向Wooyun提交厂商漏洞被查水表,怪谁?

根据信件中白帽子的信息,找到具体的漏洞应该是下图中的:

连载一:向Wooyun提交厂商漏洞被查水表,怪谁?

作为一个Wooyun的白帽子,感觉这位白帽子同学挺悲催的。其实Wooyun上有很多白帽子小伙伴都比较年轻单纯,不知道社会的险恶,作为白帽子中的大龄屌丝,很有必要分享几点需要谨记的内容给小鲜肉白帽子:

1,所有未经授权的渗透测试都是违法的;

2,厂商有权力对攻击渗透入侵自家信息系统的行为进行追究;

3,Wooyun主站跟主站厂商之间没有合同约束,是Wooyun厂商并不能代表厂商就允许白帽子未授权对自家系统进行渗透入侵测试;

4,查不查白帽子的水表取决于厂商的态度及白帽子的节操,厂商的态度是重点;

5,给Wooyun上的厂商提交漏洞,最好点到为止,会不会被查水表同样取决于厂商的态度;

6,做一个有节操的白帽子,态度很重要,真正做到只是为了给厂商反馈漏洞;

7,厂商很痛恨白帽子恶意刷同一点漏洞,还有白帽子夸大漏洞标题的行为。


以上几点都是已知的内容以及个人的看法,再看前文中提到白帽子被查水表的事情,就不难理解白帽子为啥被抓了。

1,未授权渗透测试世纪佳缘的信息系统;

2,渗透测试没有点到为止,获取了4000名用户的信息;

3,夸大漏洞标题,对世纪佳缘造成一定的影响;

4,世纪佳缘曾经发生过被脱裤的事件。


对于有些厂商,白帽子童鞋做了以上的事情,厂商不一定会查白帽子的水表,之所以不查,其实只能说是白帽子运气太好,但是白帽子不能因为运气太好就忘记了前文中的7点实事。大部分厂商还是很希望跟白帽子之间建立良好的关系,毕竟很多白帽子是真心帮助厂商解决安全问题的。


有人认为白帽子被抓,跟Wooyun是有关系的,作为Wooyun白帽子中的一员,我是很难认同这个观点的。Wooyun是一个第三方的漏洞平台,并没有强制白帽子提交厂商的漏洞,白帽子可以自由选择向Wooyun或直接向厂商提交漏洞,Wooyun会通知厂商来认领漏洞,厂商也可以选择是否来免费认领漏洞。


就比如雷锋捡到了别人的信用卡,不知道怎么找失主,然后把信用卡交给了信任的机构,机构知道了失主的联系方式,通知失主来认领,失主发现自己的信用卡被"雷锋"给盗刷了,然后报案查雷锋的水表,这事还能怪机构吗?


个人主观浅见,或许其它人会有各种不同的意见,欢迎转发发表自己的个人观点,同样欢迎各种法律专业的童鞋来分析这个案例,客观判定一下到底怪谁?


另外也欢迎回复反馈以下几点:


1,甲方厂商喜欢什么样子的白帽子?

2,心目中最有节操的白帽子有哪些?

3,没有白帽子群体是不是对厂商更加有好处?


-------------------------邪恶分割线-----------------------------------------------


昨天有感而发,写了这篇文章,有很多朋友都在讨论这个事情,细看Wooyun上当事人提交的这个漏洞,其实这位小伙伴漏洞细节中并没有说明有跑过4000多条数据,因此跑数据的行为有可能是提交漏洞之后又进行的。


当然也有很多人怀疑这位白帽子可能背锅了,不过既然被立案,说明Police是有明确证据的,不然肯定是没办法立案的。


另外看到居然有公众号转载这篇文章,就署了聚沙哥的名字,略微显的有点没节操啊。支持论坛网站转载,其它公众号转载请注明“聚沙黑板报”的公众号吧,感谢支持!


PS: 图中的配图换乘了高清版的,转载自 ichunqiu论坛!


原文始发于微信公众号(毕方安全实验室):连载一:向Wooyun提交厂商漏洞被查水表,怪谁?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月19日22:30:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   连载一:向Wooyun提交厂商漏洞被查水表,怪谁?http://cn-sec.com/archives/901500.html

发表评论

匿名网友 填写信息