设为首页 | 合乐888手机版登录-合乐888网页版登录客户端
当前位置: 合乐888手机版登录.合乐888网页版登录客户端 > 乌云 > 如何看待白帽子在乌云网提交世纪佳缘网漏洞后被抓?
如何看待白帽子在乌云网提交世纪佳缘网漏洞后被抓?
发表日期:2019-06-18 02:23| 来源 :本站原创 | 点击数:
本文摘要:更新:感激大师不断以来的关心关怀,袁炜曾经出来了。工作告一段落。 吴总@吴琳光你好, 袁炜被捕曾经近4个月了,我看到了家眷和乌云为了此事所付出的各类勤奋,多次试图与您沟通未果,在这里看到您的回应,很是欢快,看来以前是家眷跟您之间沟通的体例不太对

  更新:感激大师不断以来的关心关怀,袁炜曾经出来了。工作告一段落。

  吴总@吴琳光你好,

  袁炜被捕曾经近4个月了,我看到了家眷和乌云为了此事所付出的各类勤奋,多次试图与您沟通未果,在这里看到您的回应,很是欢快,看来以前是家眷跟您之间沟通的体例不太对。

  当然作为袁炜的伴侣,我愈加关怀袁炜本身的情况,被捕四个月两头,家眷一次没有见到他,律师反馈其精力形态有些消沉;袁炜只是一个通俗的法式员,由于职业缘由,才对收集平安发生了乐趣,到乌云来进修,作为一个新手,行为可能有些过界,但被关押这么久,不管是家眷仍是他小我都是一个严峻的冲击和警告。

  不管是对这种行为的惩戒仍是警告,都曾经达到了目标。

  但细心看您的声明后,我跟家眷领会细致环境后对比之下,惊讶的发觉贵司在陈述现实与现实行为之间庞大的差别,我不想以恶意测度您的企图,也不想大师由于这些发生非议,所以下面几点需要您帮手注释一下:

  一、您说“出于对用户数据和消息平安的担心,我们仍是选择了报警”。现实上,案发时间是2015年12月3日,贵公司报案时间是2016年1月22日,若是贵公司真的是出于庇护用户数据和消息的考虑,为安在案发之后近两个月才报警?

  二、别的你暗示“过后统计发觉,攻击总次数累计达到4000余次,共有900多条无效数据被攻击者获取”。世纪佳缘网站报案时声称的是“世纪佳缘网有 4000 余条实名注册消息被犯警分子窃取。”上述两种说法的差距之大足以影响司法机关的审理和判断,那么贵公司报警的说法和您此次的声明之间的收支,又是基于什么缘由呢?

  三、 “涉案人袁炜于2015年12月3日和4日利用黑客软件Sqlmap扫描世纪佳缘网站,通过缝隙获取了网站数据”。若是定义Sqlmap是黑客软件,是不是意味着利用这个软件的人都是黑客?

  四、过后世纪佳缘委托了第三方判定机构对办事器日记进行了判定,判定演讲只发觉了有900余条数据被读取。读取和获取一字之差,意义却相差万里,刑法划定了不法获取计较机消息系统数据罪,没有划定不法读取计较机消息系统数据罪。读取和获取一字之差足以严峻影响袁炜的终身,不知贵司对此有无注释?

  五、声明称“按照刑法,侵入计较机消息系统,获得存储、处置或传输的数据跨越500条就属于刑事犯罪的范围了。”现实上,我国刑法没有如斯划定。援用之前的帖子:

  身份认证消息500组以上才形成犯罪,而500条和500组又是一字之差,意义相差万里。世纪佳缘被读取的900余条消息是不是身份认证消息以及这些身份认证消息能折算成几多组,而这些消息中具体包含了几多公民小我消息,请贵司可否举出证据。

  吴琳光先生,在你的本次回应中,将数据被读取称为数据被获取,将刑法划定的500组换成500条,又将“数据”换成身份认证消息或者公民小我消息。

  这几个问题会严峻影响此事的性质认定判断,会对袁炜的命运发生严重影响,所以,但愿获得您的注释。

  编纂于 2017-02-06

  附和 3K

  158 条评论

  ReturnToNull

  cat single.reverse.bin

  267 人附和了该回覆

  不晓得有几多人细心看过他父亲写的阿谁环境申明,我是有一点迷惑的。先简单写两笔。

  以SQL注入为手段的拜候请求,注入请求为4400余次。SQL注入成功后,入侵者对网站数据库进行了读取操作,涉及”

  “操作的数据库数据消息为932条。

  Web狗们最常用的东西就是Sqlmap了,洞主报的消息(世纪佳缘某处SQL注入涉及万万会员消息)里也用了Sqlmap,这个必定是现实了。

  按照截图,一共6个库,此中两个库里共有107张表。

  该司法判定所给出的“注入请求”和“涉及‘

  操作的数据库数据消息”这两个说法,暂且认定是“含有payload的HTTP请求”和“上述请求中涉及到的SQL行数(去重)”。

  第一张截图证明是个整型过滤不严,请求了105次之后打出来了。payload也很简单。再暂且假定第一张和第二张是持续截图的(现实完全不成能)。我没有细读sqlmap对这种简单注入的判断过程,就只能以手工注入的思绪去思虑:6个库我至多要读6行;此中一个库有107张表我至多要读107行;再回头看看这六个库里除去两个系统库,剩下的两两一组,crm和crm_source库是一组(107张表),datecrm和datecrm_source库是第二组。按照定名法则,猜测crm是保留用户消息的,而datecrm是保留约会消息的(存疑)。按照营业量猜测,datecrm里的表数量和crm大致是统一个数量级,但不会多太多,由于一小我的约会数据一般城市在一次以上,一个表3kw记实八成要炸,所以要分表存储。如许可不克不及够认为这两组一共有170张表摆布?170张表就是170笔记录,可是这170笔记录可不是用户记实,也不是身份认证消息。

  932-170=762,这就不是一个级别了。再算上两头涉及到的表、视图、联系关系等等呢?我对932条数据中到底有几多值钱的数据暗示思疑。泛泛做测试的有情况,也能够本人看看,sqlmap的‘无效’查询有几多。

  入侵获取金融证券系统身份认证消息 10 条以上、一般系统 500 条以上,就能够视为情节严峻。

  既然都在讲法令,那就找个好律师,一字一铆钉的谈谈吧。

  别的小我感觉,这个案子怎样判,必然程度上会影响到此后黑产从业人员数量的几多。

  - - - - - 7/7更新 - - - - -

  这两天这个谜底不断有提醒,今天点开看看竟然有几十个赞…被宠若惊…感谢列位…

  现实挺有需要成立一套灰名单机制的,达到必然鉴定尺度的单元被划入灰名单后,选择厂商的界面蹦个对线pt布景红底闪灼,提醒“提交缝隙消息之前请确保您的行为合法合规,不然请自行联系公安机关自首或联系法务人员进行证据保全…”

  开打趣的你们不要信。这种待遇仍是留给缝隙修复不力的公司吧。

  编纂于 2016-07-07

  附和 267

  33 条评论

  假文人/米斯特平安团队创始人

  683 人附和了该回覆

  这是厂商问题 和乌云没多大关系。厂商假借送礼品向白帽索要地址,然后就报警抓人,呵呵。

  来自乌云的一条队形:很是感激提交缝隙和对世纪佳缘的支撑,我们已第一时间将缝隙修复完毕,并抓捕了你.

  编纂于 2016-06-24

  附和 683

  66 条评论

  haha kim

  好吃懒做的死胖子

  787 人附和了该回覆

  一、白帽子确实是违法了,但违法不等于犯罪;

  二、世纪佳缘的行为没有考虑企业抽象,并且隔离了与白帽子们的合作可能;

  三、世纪佳缘有可能因遭到恶意攻击而呈现大规模的用户数据泄露;

  四、会有多量重视小我隐私的用户分开世纪佳缘,进而导致世纪佳缘股价下跌;

  五、本次事务中,世纪佳缘的公关极其失败,根基等同于痴人。

  发布于 2016-06-25

  附和 787

  74 条评论

  的优良回覆者

  761 人附和了该回覆

  这不就是漫画《内战》的故事布景吗?

  (不是片子版,片子的矛盾被弱化了,漫画切磋了更深条理的问题)

  美国的超等豪杰越来越多,多达几百上千人。

  有的一身邪气,有的亦正亦邪;

  有的只是颠末锻炼的通俗人,有的当真起来能毁天灭地;

  有的光明磊落发布本人的身份,有的坚定活在暗影里不露面。

  但在这些千奇百怪的豪杰们冲击坏蛋、维护和日常平凡,总有几个绕不开的问题:

  他们在战役中损坏的财富和死伤的群众,是不是都能以公理为名一笔勾销,不被追查?

  他们冲击犯罪时也会采纳一些游走于法令边缘或较着违反法令的行为,是不是也同样该被放过?

  他们凭本人的好恶行事,能否能包管所作所为必然合适公共的好处?

  通俗公众若何分辩两个把城市打成断壁残垣的人里,哪个是超等罪犯、哪个是未公开身份的超等豪杰?

  在质疑愈来愈烈时,钢铁侠建议超等豪杰进行注册,当局成立部分办理和调派使命;而美国队长坚定否决,认为这只会让豪杰们成为走卒,自在精力不再。

  白帽子身上发生的这件事和超等豪杰世界中的矛盾极其类似。

  黑客对计较机系统的攻击、渗入、破解能力,对通俗人而言和架空世界里的超能力一样。

  正邪的分界线也绝没有那么清晰:白帽子在未授权环境下对某网站或办事器的渗入测试,和真正预备窃取数据的黑客所做的预备工作是一模一样的。区别只在发觉缝隙后的措置上,是演讲给办理者,仍是盗走数据卖掉。

  对网站的所有者和用户而言,对某位黑客所做的一切是平安测试仍是恶意攻击,仅有的线索就是他本人的说法:他说是善意就是善意的,他说恶意的……谁会自动这么说?

  乌云网其实能够看作一个超等豪杰们自组织的联盟,口碑靠的是组织者和参与者的自律,以及和平安业界、手艺圈子多年的优良关系。

  可是,这种自律若何让第三者信赖?若何让敌手艺、对黑客精力一窍不通的通俗人相信他们具有互联网中的超能力、但毫不会危险本人?

  与当局行为或企业行为比拟,黑客的小我行为自在度更大、遭到的监管更少(若是没有激发公安的查询拜访,根基等同0监管),而且但愿可以或许以本人目标的合理性来削减所负的义务。

  就像超等豪杰追捕坏人时炸掉的大楼、毁坏的汽车不消他们本人来买单一样。

  漫画《内战》的导火索是一群少年豪杰为了出名,在网上直播本人对坏人老巢的突击步履,成果步履失败,激发大爆炸,死伤了几百人,激发了全社会对超等豪杰行为合理性的大会商。

  此刻看到一些白帽子大骂世纪佳缘垃圾,有的还只是说没人帮你了等着黑帽入侵吧,有的干脆就明里暗里号召大师去收拾收拾这个混蛋公司。在这种氛围下,会不会真有人一时激怒,做出真正的犯罪行为来?

  若是有的话,对白帽子们的冲击,比漫画里那几个愣头青对超等豪杰的冲击可要大多了。

  任何人也不肯看到这种场合排场。

  就像我们不肯看到豪杰们同室操戈、以及被拘系投入牢狱一样。

  就像我们不肯看到追求公理和自在而宁可遁入暗影匹敌体系体例的美国队长,最初却被他本来想庇护的群众所否决一样。

  漫画中所切磋的问题,其实从头至尾都是没有明白解答的难题,若是能简单地说一方是对的,另一方是错的,那就不会从一起头概念相异变得立场割裂,最初打得天崩地裂翻天覆地了。

  现实中,无论是站在厂商何处,仍是站在白帽子这边,都能说出无数来由来责备对方。当然,最好的成果是两边互相信赖、互取所需,但这种信赖的根本是什么呢?善意的来历又是哪里呢?

  公理和自在、效率和公道、目标和手段该当若何选择呢?

  我不是平安圈子的人,但消息安满是和所有人互相关注的事。就像会商疾病不只仅是大夫的事,会商法令也不只仅是法官律师的事一样。

  既然白帽子们不只仅是为了自我满足而做,就该当尽利巴本人所作所为的意义表达出来给更多的人听,让更多的人理解。同时若是是为了连结自在的黑客精力,也该当展现出本人与贸易公司及当局机构在收集平安方面的低效、权要化和一味逐利比起来有哪些劣势。而不是纯真的匹敌。

  两边都选择一味匹敌,只能培养冲突,进而成为悲剧。

  编纂于 2016-06-27

  附和 761

  41 条评论

  黑客 (Hacker)、

  收集平安、

  的优良回覆者

  196 人附和了该回覆

  和昔时微博报警抓了玩 XSS 蠕虫惹起的反弹雷同,此刻这个反弹生怕更大。对于厂家来说,法令当然说的过去,道义上就麻烦了,皋牢人心次要靠道义。

  另一个概念是:

  虽然我不是什么什么帽子,可是我不否决此刻各类帽子,你看到的只是个例,我看到的是游戏法则里的均衡…

  -------------

  良多白帽子在声讨的同时,也建议多领会领会法令,法令不会由于你的声讨而妥协,白帽子要学会庇护本人,免得碰到措不及防的“坑”。

  编纂于 2016-06-25

  附和 196

  6 条评论

  收集平安、

  黑客 (Hacker)、

  的优良回覆者

  238 人附和了该回覆

  1、起首不法侵入计较机消息系统罪针对的是入侵国度事务、国防扶植、尖端科学手艺范畴的计较机消息系统。这个案件涉及的是世纪佳缘的消息系统,不属于这三个范畴。

  入侵其他范畴的计较机消息系统,不形成该罪名,可能涉及不法获取计较机消息系统数据罪,可是不只要求具有入侵行为,即采用破解暗码、窃取暗码、强行冲破平安东西等方式进入,并且要求获取计较机消息系统中的数据,司法注释划定有具体的立案尺度,白帽子在验证缝隙过程中一般不涉及获取数据,但疑惑除利用的个体手艺东西具有主动缓存功能,将系统中的数据主动存储在当地电脑中,这种环境能否涉嫌犯罪可能具有争议。

  至于粉碎计较机消息系统罪,需要具备三种环境之一:粉碎计较机消息系统功能,即对计较机消息系统功能进行删除、点窜、添加、干扰,形成计较机消息系统不克不及一般运转;粉碎计较机消息系统中存储、处置或者传输的数据和使用法式;居心制造、传布计较机病毒等粉碎性法式,影响计较机系同一般运转。白帽子的行为凡是都不涉及这三种环境,若是涉及,一般也不属于白帽子。

  2、这个案子对于白帽子群体以及国内全体的消息平安程度提拔都影响很是大。白帽子分歧于黑客最大的处所在于,白帽子操纵本人的专业手艺特长、连系乐趣快乐喜爱,自动寻找网站具有的平安缝隙,发觉后不是操纵缝隙处置粉碎勾当,或者用于营利等不法目标,所以,白帽子的行为对于网站而言没有粉碎性,相反协助网站及时发觉缝隙、修复缝隙、以防给企业或用户形成严峻丧失,对网站具有积极的扶植性感化。

  3、实践中,白帽子发觉平安缝隙并由第三方平台披露可能对相关网站影响很大,所以若是发布的缝隙消息不实,将严峻影响企业的合法权益,白帽子也将面对响应的法令风险,白帽子要为本人的言行担任,这就要求白帽子在提交缝隙消息前,需要对该缝隙进行响应的验证,供给需要的证据证明该缝隙是实在具有的。所以白帽子对平安缝隙进行验证本身不是出于不法的目标,客观上也没有处置违反法令划定的行为,所以也不该认为涉嫌犯罪。

  乌云法令参谋 -- 赵占领

  编纂于 2016-07-06

  附和 238

  31 条评论

  风的季候,风复兴时,风继续吹

  13 人附和了该回覆

  这个问题之前想答来着,不断没有时间

  此刻来简单颁发一下见地吧。

  这个问题该当是《若何对待白帽子提交世纪佳缘缝隙后被抓》

  跟乌云不妨啊,乌云作为第三方平台。一不授权二不维权。良多人通过这件事来批判乌云,感受有点好笑,假如你拖了数据,假如世纪佳缘想追查你,那么不管你提交到哪里城市出问题。

  再来说说,若何对待白帽子提交世纪佳缘缝隙后被抓。这『白帽子』就是no zuo no dai,如果真的拖了库还提交缝隙,那就是告诉人家厂商,

  我不只要在你头上拉屎,我还要问你借纸。

  清者自清,之前美的大量数据泄露的工作也把我推向了风口浪尖,我连夜搬场还找了几位网监伴侣/乌云众测担任人/业界前辈征询了这个问题。

  这个问题是怎样样的呢?美的具有良多缝隙,缝隙也泄露了良多数据,我们在渗入测试完当前提交缝隙时需要给一个缝隙证明。以前我提交缝隙只给数据量,缝隙平台的审核告诉我,就算是一亿数据也不克不及证明是高危,万一是日记呢?于是我后来每次城市跑一下表里的数据量、某些敏感表的字段。

  提取前十条来证明这是身份证、地址、德律风等敏感数据

  这里问题呈现了,我没有拖他数据库,只跑了十条来作为缝隙证明。若是美的追查起来我需要不需要背锅?几位网监伴侣/乌云众测担任人/业界前辈告诉我:清者自清,若是你真的没拖,完全不消担忧。虽然同样是未授权,同样是违法,但谈不上犯罪!你的硬盘里面没有美的的数据,美的的办事器日记也没找到明白暗示是你的IP拖的数据等迹象,还真的没什么事。后来也确实平息了,并未遭到追查

  做一个白帽子,名誉一辈子。不要忘了『我是谁』

  发布于 2016-06-29

  附和 13

  4 条评论

  「浅黑科技」创始人,记者。微信shizhongpro

  10 人附和了该回覆

  在动机上,没有人能够自证洁白,但在法令的棋盘上,袁炜犯规了,虽然没有祁同伟那么不成宽恕。这句话,有一种更为中立的表达:白帽子黑客袁炜心里的法则和法令法则并不分歧。最终,国度暴力机关强制袁炜恪守了大大都人所认同的“法令法则”。

  《人民的表面》大结局中大反派祁同伟向无数漆黑的枪口喊出了这句话,饮弹自尽。

  一霎时,手机上弹幕横飞,屏幕暗下,反照着人们潸然泪下。

  “胜天东床”是这位草根公安厅长的人生哲学。他的所有选择,都证明他并没有在法令和道德的棋盘上落子;在他的心里,法令和社会的缝隙,是游戏法则的一部门。

  有人选择投身于操纵缝隙,有人选择投身于修复法则。于是便有了我们熟知的“黑帽子黑客”和“白帽子黑客”之分。

  看来,恪守法则与否,能够清晰地规定“好人”与“坏人”。

  有了道德,我们就能够用道德法则审讯一小我,有了法令,我们就能够用法令法则来审讯一小我。那么,为什么有人要为祁同伟流泪?为什么有人要为“世纪佳缘案”的白帽子袁炜伸冤?为什么有人相信快播 CEO 王欣无罪?

  于是我想先弄大白什么是法则。

  我发此刻定义中,“法则”并没有和“公理”划等号。这似乎很主要。

  所以,我想到了几个例子。

  法则并不自带光环,由于它不等于谬误。

  而每小我都有本人心中的谬误。我想到了两个颇为出名的片子《七宗罪》和《V字仇杀队》。二者在哲学层面上讲述了统一个故事:“我”用本人的法则,惩办“我”心中的“坏人”。

  黑客又何尝不是呢?

  《V字仇杀队》中仆人公的面具是出名国际黑客组织“匿名者”的图腾,来自全球的黑客恰是用这个符号堆积在一路。他们的标语就是

  “匿名者”已经向多个组织“宣战”,此中包罗美国中情局、可骇组织 ISIS、汤姆克鲁斯支撑的山达基宗教、国际武警组织、朝鲜当局。若是你感觉“匿名者”干得好,那么我告诉你,他们也曾向中国当局宣战。

  “匿名者”在“惩恶扬善”,它的敌手从来无力报仇。

  我们还能够看看这位叫袁炜的黑客,他该当更喜好自称为“白帽子黑客”。

  按照公开材料,袁炜在2015年12月已经发觉了婚恋网站世纪佳缘的缝隙,而且通过缝隙平台乌云演讲给了世纪佳缘。世纪佳缘于四天后修复,而且称谢。按照世纪佳缘方面的暗示,在一个月后他们发觉了900条数据被窃,于是报警,北京向阳查察院依法批捕袁炜。

  这件工作,让良多白帽子卑躬屈膝,认为世纪佳缘“垂钓法律”,冲击报仇。

  在动机上,没有人能够自证洁白,但在法令的棋盘上,袁炜犯规了,虽然没有祁同伟那么不成宽恕。

  这句话,有一种更为中立的表达:白帽子黑客袁炜心里的法则和法令法则并不分歧。最终,国度暴力机关强制袁炜恪守了大大都人所认同的“法令法则”。

  图为乌云平台创始人方小顿

  良多黑客都有过“日站”的履历,简单来说就是偷偷摸进网站的办事器,看一看里面的数据。从法令上来讲,这些都长短法行为。

  相关法则,还有一个长短难断的例子。

  从客岁起头,黑客组织“ShadowBrokers”接连放出大量的 NSA(美国国度平安局)用于监控全世界的黑客东西。恰是由于有了黑客对 NSA 的不法入侵,中国浩繁公司才恍然大悟,本来本人过去几年不断处于美国的监督之中。

  相关法则,还有一个更柔嫩的故事。

  快播 CEO 王欣操纵快播办事器缓存了大量淫秽内容,涉嫌传布淫秽物品取利罪。我小我感觉,老司机们用快播称心人生,至多在某种程度上助推了王欣入狱。

  那么,问题来了。作为老司机,你有没有感觉本人的法则和社会的法则发生了剐蹭变乱?

  凡是认识苍教员波教员的,都需要回覆这个问题。

  图为快播 CEO 王欣在接管审讯,他犯传布淫秽物品取利罪,判有期徒刑3年6个月,罚金100万元。

  由此,鄙视法则的祁同伟、袁炜、王欣、你和我,都站在了一条船上。

  这,大要就是有报酬他们感喟的缘由。

  祁同伟说,“在这个世界上,没有谁能审讯我!”这句话,值得玩味。

  你可能没有留意,在上文“法则”的定义中,我特地附带了法则的三种形式:明法则、潜法则、元法则。

  前两种曾经了然,我想说说元法则。

  在大都人看来,你或者“胜天东床”,或者“满盘皆输”。

  陆秀夫崖山投海,王国维沉湖殉清。

  祁同伟大骂“去他妈的老天爷!”,饮弹而亡。

  他们的背影,和远去的黑客颇有几分神似。

  再毛遂自荐一下吧。我是@史中,是一个倾慕故事的科技记者。我的日常是和各路大神聊天。若是想和我做伴侣,能够关心微博:史中方枪枪,或者加我微信:shizhongst。

  不想走丢的话,你也能够关心我的自媒体公家号“浅黑科技”。

  编纂于 2018-05-30

  附和 10

  5 条评论

  我手码我心

  10 人附和了该回覆

  第四届收集平安大会于2016 6月23日召开 此刻是6月26大会曾经竣事

  这位父亲有没有在大会上讲话? 在大会日程-NSC2016中国收集平安大会中我并没有找到

  列位平安圈的专家/乌云有没有回应这位父亲?目前我在网上找到的只是针对这件事的会商 并没有找到回应

  袁炜4月12日被拘系 已有两个多月 此刻他怎样样了? 我在网上并没有找到

  大师仿佛不怎样关怀袁炜

  发布于 2016-06-26

  附和 10

  1 条评论

  Stardustsky

  收集平安混子/机械进修渣渣

  406 人附和了该回覆

  我记得是本年二三月份仍是客岁,就有人进去了,乌云上的缝隙演讲被用来作为证据指控那位小伙子。

  这种事,要说孰对孰错,欠好一概而论。从法令上来说,这简直是犯了法,但白帽子这行,其实说其实的,不免不湿湿鞋,对于不领会这行的人来说,可能会感觉这是我们在为本人犯罪找托言,但其实举一个简单的例子就很能申明问题了,为什么部队里的甲士需要实战操练,彼此搏斗,而不是对着沙袋天天锤?缘由很较着,只要在最实在的情况中,才会碰到良多意想不到的问题,而霸占这些问题,才能真正使到手艺得以提拔,同理,平安人员若是只是拿着虚拟机测试情况在那一遍又一遍的测试的话,多半也是没什么前进的,所以我们不成避免的会接触一些现实情况,至于会不会粉碎别人的系统或窃取材料,这就是一个操守的问题了。

  此次这件事,我不得不说世纪佳缘这狗逼,确认了别人的缝隙,借着发礼品的表面索要住址之后却报警把人给抓了,这种行为真特么操蛋。当前hc脱你们裤子拿出来卖的时候,但愿你们能报警把他们也抓了。

  回过来,作为白帽子本身,也要留意本人的行为,终究你再有理,违法就是违法,进局子了怎样辩白都没用,sql注入多加个--start --stop,不挂黑页,不脱数据,不粉碎系统,别的,对于世纪佳缘这种无良厂商,当前就别测了吧。

  还有,我看见评论里一些嘲讽乌云的,送你们两个字母,“SX”,虽然我不怎样在乌云交洞,但我真特么看不惯你们这些人,在乌云学到了学问,反过来却咬乌云一口。

  说句很客观的话,要不是乌云,国内不知有几多年轻白帽子正在做着HC;要不是乌云,国内的全体平安程度估量要滞后四五年;要不是乌云,你此刻能看到那么多的SRC,缝隙平台,收集平安学院?

  我对这个平台一直是持有敬意的,这是一个真正崇尚自在和开放的社区,剑心也是一个抱负主义者,这么好的一个处所如果被你们这些人毁了,那真的是国内平安从业者最大的倒霉。

  对了,我收了乌云一毛钱。

  发布于 2016-06-25

  附和 406

  33 条评论

  消息平安从业者 持续创业者 allsec@301

  38 人附和了该回覆

  今天凌晨写了篇稿子,值得甲方、乙方、第三方、白帽子们反思。(301小我独立言论)

  平安概念“白帽”黑客被抓事务,我想说....内容如下:

  强调本文是以小我白帽子身份表达本人的概念和立场,不代表任何公司立场立场,切勿对号入座。

  今天,一则某“白帽子”由于提交某厂商缝隙消息,由于测试过程中涉及部门数据最初被抓的事务。在平安圈炸开了锅,伴侣圈全数是相关这方面的会商,对于“白帽子”而言大部门的声音都是偏负面,各类刺耳的言语、一系列轰炸,看完整小我都欠好了。白日忙活一天,刚从外面回家,晚上跟伴侣吃饭沟通的时候,心不在焉的形态,仍是感觉无论从什么角度看,感觉本人得写一些工具,所以也在伴侣圈发布了一则概念:

  “用于贸易目标的时候,满世界全数是白帽子黑客,碰到事务背锅的时候;清一色的雪上加霜。向苦守道德底线准绳的白帽子们致敬。”

  所以,我决定站在独立第三方视角来谈论这个话题,虽然我晓得这个话题会很是具有争议性,对事不合错误人。然而,在不完全领会整件工作细节的环境下,我也不间接去会商这个话题,我会从甲方厂商、乙方、白帽子视角上会商这个问题:

  1、若是我是甲方厂商:

  外部有人发觉自家缝隙,无论通过缝隙检测仍是深切测试体例,对企业本身营业运转发生影响,采纳法令办法庇护企业好处,属于一般行为。当企业本身好处遭到严重要挟时,采纳报警的体例,也是理所该当的。准确指导平安人员的行为办法,给平安人员供给一个能够展现本人能力的舞台,这才是一个真正靠谱的企业需要去做的。

  2、若是我是乙方厂商:

  其实从乙方企业的角度上看,乙方平安公司本来就是一只白帽平安团队,保障收集平安为己任,率领平安团队向更多企业输出安万能力。乙方公司更多需要放低门槛,让更多的平安快乐喜爱者插手团队,供给优良的情况和平台,给新人机遇,而不是,条条框框限制在外。

  3、若是我是第三方平台:

  通过互联网众包模式把平安研究人员与企业进行对接,第一时间把平安缝隙输送到企业端,第一时间确认缝隙、修复缝隙、缝隙细节公开供给后者进修,带动平安行业成长。有乐趣的能够看下WooYun背后的阳光

  3、从白帽子视角看:

  白帽子也作为消费者用户,本人的数据在企业端,在利用产物过程中发觉了严峻缝隙,作为及格的平安人员第一时间必定想到的是把缝隙奉告企业相关担任人,共同完成缝隙整改工作,获得企业的承认,这也是白帽子获得的容易。而作为一名相对及格的白帽子,发觉企业缝隙过程中,点到为止,不影响企业营业进行,验证缝隙存期近可,不要做出格的工作,这是根基准绳。若是本身真的越界,请参考第一条。白帽子需要一个健康的舞台展现本人的安万能力,处理本人工作和糊口的问题,这才是所有平安新人需要的。

  当然,看到今天那么多骂声,我也不由得吐槽和提问:

  1、乙方平安公司“未授权”渗入测试发觉甲方企业缝隙上门谈合作或者借助已发觉的缝隙去进行营业构和合作的企业有几多?作为甲方角度,你碰到过几多如许的环境?

  2、还有有几多企业操纵消息不合错误称/法令擦边球在平安范畴市场化运作,我相信大部门平安从业者都清晰这些细节,无需提示。

  3、国内确实缺乏一个独立的第三方机构对网信人才的监视,当然在此呼吁:甲方、乙方、第三方成立平安行业自律,一方面是企业本身自律,对企业本身的平安自律,一方面是平安从业者对本身行为自律。不外在自律的过程中,还有三个问题想说下:

  1)那些白帽子已经协助过的那甲方企业,在没有任何好处报答协助其发觉问题,而且削减企业那的丧失?

  2)那些白帽子已经发觉过的缝隙背后,乙方平安公司把缝隙需求市场化后发生的订单,你们心里是怎样想?

  3)第三方缝隙平台借助白帽子的资本、力量强大社区和品牌,你们为什么缄默?

  最初,借助习大大在本年十八大前后关于人才问题的主要阐述强调:“要聚全国英才而用之,为网信事业成长供给无力人才支持。收集空间的合作,归根结底是人才合作。引进人才力度要进一步加大,人才体系体例机制鼎新步子要进一步迈开。各级党委和当局要从心底里尊重学问、尊重人才,为人才阐扬伶俐才智缔造优良前提。要形形色色降人才,解放思惟,慧眼识才,爱才惜才。看待特殊人才要有特殊政策,不要求全指摘,不要论资排辈,不要都用一把尺子权衡。要成立矫捷的人才激励机制,让作出贡献的人才有成绩感、获得感。要建立具有全球合作力的人才轨制系统。不管是哪个国度、哪个地域的,只需是优良人才,都可认为我所用。”

  你之所以看不到暗中,是由于有人竭尽全利巴暗中挡在你看不到的处所。

  看了那么多辩论和吐槽,那些真正守护道德底线的白帽子,真凉透了心,你感觉呢?

  长按二维码,关心301在路上。

  从一件“平安事务”的呈现,可以或许看出一群人的款式和面目面貌。

  雪上加霜的人,不见得人品会有何等好。

  留给大师需要去做的工作是思虑。

  这件工作事后,世纪佳缘却是本人建了个SRC:

  不外我不会去提交缝隙,你们呢

  编纂于 2019-02-02

  附和 10

  340 人附和了该回覆

  “很是感激提交缝隙和对XXXX的支撑,我们已第一时间将缝隙修复完毕,并抓捕了你”。看过这么一句话,你会不会莞尔一笑?对了,还有一条脸色包的内容是如许的“我有乌云庇护,日你网站怎样了,不只日你网站还拖你裤子……怎样了”。大师又乐呵了一把。

  今天一条消息引爆了国内的消息平安行业,某厂商报案把某平台上一个提交缝隙的手艺人员给抓了,行业两派的争议不竭,互相鄙夷,程度远远跨越了昔时Windows阵营对Mac阵营。“白帽子”派(我们姑且这么叫)是说厂商太无耻,我们好心给你们提缝隙,你们竟然敢这么对我们,你们要像其他厂商进修,人家不只快速修复,还有奖励;“亲厂商”派说你们明白冒犯了刑法,未获得授权,泄露了消息,把一个纯真的手艺缝隙硬是操纵到了公关层面,公开数据公开细节,对企业形成了极大的负面影响。

  我并不想就本身的事务进行任何的反复,我码这段文字是由于我发觉大师没无意识到,要辩论的底子问题是什么。白帽子和缝隙平台到底想要达到什么样的诉求,厂商到底想要达到什么样的诉求,以及最终能通过什么样的渠道去处理。

  大师喜好用一句话来申明问题“不忘初心,方得一直”,这似乎是一把尚方宝剑,放到哪都能用,都是权势巨子,说了这句话我们就无敌了,任何危险反弹。好吧,我们按照这个思绪来申明一下问题。缝隙平台的初志和白帽子的初志是什么?我暂且先用这么一句话来代剖明帽子描述“

  我们有着足够强大的手艺力量可以或许协助企业发觉问题,并协助企业处理问题。也但愿企业可以或许信赖我们,支撑我们的行为。我们并不求任何报答,不外有必然的报答我相信我们能共同的更深切更好。

  我感觉这个初心没有任何问题,这个社会必然有良多人心存善意,情愿制造一个协调合作的情况。可是一个庞大的拦路虎在哪里:刑法两次的批改案都明白定性了,未授权入侵检测,获取了数据,特别是在传布的环境下明白属于违法行为。这些条则大师能看出来,防君子不防小人。一个国度需要这么一批有能力的人,可是又不单愿是完全不成控的,所以立了法,没有危险没人追查就持观望立场,一旦工作闹大有了负面影响,不冲击是不成能的了。

  任何一个个别抗风险能力为0,你的善心在尚未获得验证之前是不被承认的,说抓也就抓了。于是呈现了一些缝隙平台,他们有一些官方层面的认同和合作,有些工作就有了沟通渠道。这时候,白帽子群体的配合诉求起头进行了改变,他们但愿“

  这种缝隙的发觉和披露形式是合法合规且合理的

  ”。也许掩盖了一些鱼目稠浊的假白帽,可是大部门人仍是但愿可以或许往好的标的目的成长。

  这个过程中,形式确实发生了一些变化,法律部分插手了测验考试性的接触和观望立场,他们也不单愿涉入太深;各企业也起头了与各缝隙平台试探性的合作。记住了,这些都是尝试性质的,谁也没有对此定型善或者恶,都想先通过行业的自我成长来进行妥协和调整。

  可是这种测验考试性的合作前期惹起了曲解,最间接的表现是有少数一批白帽子们并没有认清形势的成长,俄然感受优良,认为缝隙平台的尝试性质的合作就是合法,导致无限膨胀了。比若有白帽子认为不给奖励就是有问题,比若有白帽子认为厂商在手艺上不认为是缝隙也是有问题,以至是这种问题激愤了白帽子激发了“打单”,“脱裤”,“删数据”等过激行为(这是实在发生过的)。

  前期冲突几乎是必然的,能够预见的,由于没有法则,没有权势巨子的机构,只要民间自建的系统。记住了,所谓的协调系统是一个初期妥协的产品,厂商对缝隙平台的所谓合作,以及对白帽子们的认同,这种微妙的合作关系很是懦弱,就如统一张窗户纸,一捅即破。若是厂商感觉白帽子的行为不成控,所谓的提交缝隙对企业弊大于利,那么企业就会反弹,撕破那张纸,向相关部分施加压力。相关部分压力堆集到必然量的时候,良多工作就扛不住了,心想给你们机遇欠好好爱惜,闹得社会不平和平静,看着心烦于是干脆一巴掌拍死得了。

  我们回到最后的诉求,白帽子是但愿本人的身份获得承认,但愿跟企业更好的合作。企业但愿看到的是你热诚的笑脸,而不单愿看到你背到后面的手上拿着一把刀。特别在这个曾经明白定义为不合法的法令社会,白帽子良多工作不克不及做,良多打趣不克不及开。你能够试想一个国度的带领人到劳苦公共中视察,满脸的笑亲热的很,可是若是一个小摊贩不识好歹,测验考试跟带领人勾肩搭背做兄弟状,他离死也就不远了。带领人跟你勾肩搭背开打趣能够,你爬到他身上就不可。

  上面说的大师若是能理解,那么我们再往后走一步:目前不合法,将来能不克不及合法?若是将来都看不到但愿,我感觉这个社会不免太暗中了。同性恋在几多年前全球就不合法,可是到今天我们再看看,很多国度曾经明白立法支撑合法,良多国度虽然没有明白支撑,可是也没有明白否决了,这就是前进这就是改变,这就是标的目的。所以,其实各大缝隙平台都在做如许的测验考试:缝隙平台越来越多,接入的厂商越来越多,跟相关部分的合作月来越多,白帽子越来越多切越来越能管控本人在一个合理可控的区域,那么整个生态系统的抗风险能力就强了,它就从一个暗中面逐渐进化到台前。这莫非不就是但愿么?

  有个概念我还想说一说,白帽子之所以发生膨胀,缝隙平台不克不及完全离开相干,若是平台没有处置好跟厂商的关系,那么平台必需对真正善意白帽子做好庇护工作,好比缝隙若何披露,数据若何展现。白帽子没有法令认识,缝隙平台必需有法令认识,找相关的律师事务所合作,不只是庇护平台,也要庇护好白帽子在做贡献的同时本身是平安的。除此之外,给白帽子进行一些规范,有所为有所不为,哪些红线不克不及踩必然要先沟通好。不然,收缝隙时很高兴,披露时也很高兴,工作闹的还挺大,出事了平台说跟我无关是晦气于行业成长的。

  最初,有益益的处所就有犯罪,有前进的处所就有冲突。我们不要由于一些特例来一棒子打死一个新标的目的的测验考试,我们为任何过激行为(非论是白帽子仍是厂商)暗示可惜,我们仍是但愿呼吁所有人准确对待白帽子们的贡献。电能电死人不代表我们就不消电,车能撞死人不代表我们就不开车,电和汽车都是科技的产品,都是人类社会前进的产品。我们该当赐与恰当的包涵,恰当的理解,恰当的赏识。

  -----------------

  弥补:关于这件工作本身,我跟平台和企业方之前都深切接触过,因而我也想再弥补几句:

  1,白帽子未必做了伤天害理的事。对他而言,当他在点击“提交缝隙”按钮的时候并不认为跟往常有任何区别。只是演讲缝隙,供给了一些证据,然后收到企业方的称谢以及小礼品。他晓得本人并未做出任何粉碎性的工作,相信厂商是理解的。

  2,企业方的手艺团队未必真要抓白帽子。大师想过没有,所有企业内部的平安手艺团队成员其实就形成了此刻的所有缝隙平台的白帽子团队,他们发觉别人厂商缝隙的成绩感远比发觉本人公司的缝隙来得更强。某种意义上说,虽然手艺人员相爱相杀,可是某个层面上会告竣分歧,不至于通过法令路子来处理。就比如小学生闹矛盾,大师会鄙夷“告教员”的那位小盆友。所以,不要鄙夷厂商的手艺团队。

  最初,为什么会呈现此类环境?我感觉两种可能性比力大:一是白帽子沟通过程中表达不妥(白帽子太不擅长跟厂商打交道了,同窗们啊)激愤了厂商;二是厂商何处有个“主战派”,他们不必然懂手艺,可是必然是公司相关权力部分,好比法务部/公关部之类的,当然,最怕的是老板,最怕的是老板,最怕的是老板。一个暴燥如雷的老板会间接鞭策工作的进展。他们会喊出“犯我国土者,虽远必诛”的标语。强权确其实某些方面是无效的,至多气焰上威慑住你。

  所以,别怪白帽,别怪企业手艺团队。大师多一些包涵,把误会一步一步的消弭。

  编纂于 2016-06-25

  附和 340

  35 条评论

  50 人附和了该回覆

  (若是有证据)差人抓人没错,法律必严,违法必究嘛。

  可是,坐等世纪佳缘垮台,毫不怜悯。

  有车道,有马路,就如许撕破脸,把马路堵住,开这么大个的嘲讽,真当黑的不敢脱你?谜之自傲。

  编纂于 2016-06-26

  附和 50

  29 条评论

(责任编辑:admin)
http://dyrx99.com/wy/1028/
热门推荐
  • 娱乐资讯
  • 社会百态