(樂(lè)購(gòu)網(wǎng)專欄 作者:曲子龍)談了幾年的網(wǎng)絡(luò)安全,談來(lái)談去竟然開(kāi)始覺(jué)得可悲,我以為一直可悲的只有自己,沒(méi)想到時(shí)至今日做了網(wǎng)絡(luò)尖刀這個(gè)Team,有了一個(gè)良性的圈子后才發(fā)現(xiàn),悲傷的是我們的行業(yè),寫這篇文章不是要一棒子打死一群人,因?yàn)樵谖覀兒献鞯膹S商中騰訊應(yīng)急響應(yīng)中心、金山KSSG、淘寶、網(wǎng)易、好大夫、嘟嘟牛,一直都很不錯(cuò),所以這篇文章很直接了當(dāng)?shù)尼槍?duì)一些可笑又可恥的廠商,過(guò)去的事兒我不提及,就事論事,就拿我團(tuán)隊(duì)成員的遭遇說(shuō)起。
發(fā)現(xiàn)漏洞,告知漏洞,竟然熱臉貼了冷屁股!
和其它的白帽子一樣,錢途作為網(wǎng)絡(luò)尖刀的白帽子一枚,每天利用工作閑暇的時(shí)間去給一些大型網(wǎng)站做安全檢測(cè),檢測(cè)到漏洞就提交到第三方漏洞平臺(tái),然后由第三方平臺(tái)通知廠商處理漏洞,當(dāng)然有時(shí)候也是直接聯(lián)系廠商,然后告知對(duì)方網(wǎng)站管理員修補(bǔ)漏洞。
漸漸的我們形成了這樣的一個(gè)圈子,因?yàn)樘峁┑穆┒春芏嗟臅r(shí)候都是嚴(yán)重的高危漏洞,如果不修補(bǔ)被黑帽利用,很容易造成直接的經(jīng)濟(jì)損失,所以廠商也為此推出一些獎(jiǎng)勵(lì)機(jī)制,以鼓勵(lì)這種為推動(dòng)網(wǎng)絡(luò)安全發(fā)展的白帽子們,當(dāng)然就在上個(gè)月騰訊應(yīng)急響應(yīng)中心剛剛獎(jiǎng)勵(lì)了錢途Ipad 一枚,以鼓勵(lì)更多的人加入這樣的白帽子行列里。
然而不是所有的廠商都是這樣,前幾天錢途發(fā)現(xiàn)了91助手合作伙伴91如意彩網(wǎng)站存在兩個(gè)致命的高危漏洞,一個(gè)是直接可以突破進(jìn)入網(wǎng)站后臺(tái),查看調(diào)閱用戶信息,甚至可以進(jìn)行提現(xiàn)!另外一個(gè)利用積分可以無(wú)限刷彩金的漏洞(PS:彩金是該站的虛擬交易幣,可以當(dāng)RMB一樣直接去購(gòu)買彩票!)兩個(gè)漏洞懂網(wǎng)站的人都知道,這肯定是嚴(yán)重的高危漏洞,如果被惡意利用,定會(huì)給91如意彩網(wǎng)站造成龐大的損失。
于是錢途馬上聯(lián)系了91如意彩網(wǎng)站的在線客服,客服對(duì)此并未理睬,于是錢途用了測(cè)試帳號(hào)告知,真的存在漏洞,并且用一個(gè)測(cè)試帳號(hào)“刷”出了100萬(wàn)人民幣后,告知客服,盡快安排相關(guān)技術(shù)對(duì)話,修補(bǔ)該漏洞,而客服的回答竟然是“把你的帳號(hào)告訴我,我把100萬(wàn)處理收回!”
高危漏洞 贈(zèng)予殘廢獎(jiǎng)勵(lì)你打的是誰(shuí)的臉?
提供有價(jià)值的高危漏洞,做為白帽子你給予獎(jiǎng)勵(lì)也好,不給予也罷,至少我們的努力換你一句謝謝還不可以么?而91如意彩客服竟然給錢途的是始料未及的冷漠,他冷的不是錢途自己,而是我們這個(gè)team,甚至是我們這個(gè)圈子,一個(gè)每天因愛(ài)好而聚集,無(wú)私挖洞,提交漏洞,共同交流維護(hù)廠商利益的集體。
而下面的處理方式更讓我們始料未及,錢途吐槽了幾句他們不重視網(wǎng)絡(luò)安全這樣解決是沒(méi)用的后,客服竟然答復(fù)錢途,自稱為了表示歉意,“為錢途贈(zèng)送1000積分,這一千積分可以兌換2元彩金!”的獎(jiǎng)勵(lì)!
我們沒(méi)說(shuō)要你的獎(jiǎng)勵(lì),做為白帽子我們首先需要的是你對(duì)我們的幸苦勞動(dòng)道一聲謝謝足矣,而你91如意彩你給予我們的是什么?不理睬?冷漠?還是諷刺?一個(gè)高危漏洞可以刷100萬(wàn)網(wǎng)站現(xiàn)金的漏洞,一個(gè)能進(jìn)后臺(tái)查看用戶信息,甚至可以提現(xiàn)的漏洞,你們大氣的還給我們價(jià)值2元的網(wǎng)站消費(fèi)彩金?
這就是白帽子的生活么?看了之后我忽然覺(jué)得這是自討沒(méi)趣,自找罪受,正是有了你這樣的廠商,才造成越來(lái)越多的用戶信息外泄,越來(lái)越多的網(wǎng)民因?yàn)槟銈兊牟恢匾暎斐伤麄兊碾[私,信息都被你們給出賣!用戶信息被外泄,被惡意利用,被傳播,造成金錢損失,名譽(yù)損失,到底誰(shuí)的錯(cuò)?一個(gè)巴掌拍不響,真的就是黑客攻擊利用者一個(gè)人的么?
我做一個(gè)形象的比喻,A是一個(gè)強(qiáng)盜,B是一個(gè)公民,C是一個(gè)開(kāi)保險(xiǎn)公司的企業(yè),D是一個(gè)小販。D把東西存放在C的公司里,B告訴C說(shuō)他們保險(xiǎn)公司墻上有洞,那個(gè)洞里能鉆進(jìn)去人,偷走你的東西,C冷漠的沒(méi)有搭理B!然后某天A偷了C保險(xiǎn)公司里的所有的資料!C憤憤不平的去了官府,自稱自己丟了東西,而沒(méi)有回眸當(dāng)B告知他的時(shí)候,他是如何對(duì)待B的,然后又跑到D面前冒充受害者一句對(duì)不起引起D的同情,他從沒(méi)提及B對(duì)他的勸告,不是他忘記了,是他沒(méi)臉說(shuō)!
不重視說(shuō)真話的人 以后沒(méi)人和你說(shuō)真話!
文章寫到這里顯然文筆已經(jīng)很啰嗦,作為白帽子我覺(jué)得這是恥辱,對(duì)待這樣的廠商,我們也無(wú)話可說(shuō),各位奮戰(zhàn)在安全圈子里的白帽子醒醒吧,那些不尊重白帽子的公司,就沒(méi)資格做廠商,以后不會(huì)有人提交他的漏洞,既然你不重視,我們唯一能做的只有把存在漏洞的事情以及影響,預(yù)知告訴廣大網(wǎng)民,作為白帽子我們最初的目的就是想要從愛(ài)好的角度鉆研技術(shù),然后在實(shí)踐的過(guò)程中,保護(hù)網(wǎng)民。
我們沒(méi)有能力改變一個(gè)廠商的態(tài)度,所以只能從保護(hù)用戶的角度思考,最后還是那句話,不尊重白帽子,你就沒(méi)資格做廠商!
推薦閱讀
速途網(wǎng)訊 近日,360公司發(fā)布系統(tǒng)修復(fù)工具——360急救盤。360急救盤是一款裝在U盤上的急救系統(tǒng),當(dāng)用戶遇到系統(tǒng)崩潰、無(wú)法啟動(dòng)等問(wèn)題時(shí),360急救盤可幫助用戶搶救文件,轉(zhuǎn)存重要數(shù)據(jù),恢復(fù)崩潰前的操作,甚至還可以快>>>詳細(xì)閱讀
本文標(biāo)題:不尊重白帽子,你沒(méi)就沒(méi)資格做廠商
地址:http://www.geekbao.cn/a/11/20130205/259226.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示