关于乌云最近的一些小小的尝试

2016-11-1 乌云zone - 永久存档 6529次访问

关于乌云最近的一些小小的尝试

xsser | 2016-01-29 21:15

乌云近期一直在平台上做一些改进，不知道有没有人关注到

1 乌云和tangscan尝试结合，对于一些漏洞的修复情况进行自动化监控（未来会开放给更多的合作伙伴来监测）

2 对于一些地方上安全漏洞处理不及时和通报渠道不畅的情况，我们选择地区性合作伙伴一起来处理问题，譬如台湾和香港就是这个例子（2016我们将继续试水以确保问题更快更好处理）

3 我们引入提交者来对漏洞是否修复进行判断，后续也会引入更多譬如核心白帽或者其他权威机构来对漏洞结果进行评估

大家有什么好建议么，乌云一直在努力

：）

1#

带头大哥 (北回归线,一炮而红@~！) | 2016-01-29 21:30

请楼下兄弟发表我的意见！
2#

老黑 | 2016-01-29 21:35

请楼下兄弟发表楼上的意见！
3#

番茄师傅 (www.tomatoyu.com) | 2016-01-29 21:36

专业破坏队形
4#

MITM | 2016-01-29 21:40

@xsser 洞主提交”验证漏洞是否修复“之后能否给1WB鼓励一下？
5#

Ano_Tom | 2016-01-29 21:43

3.就是厂商修复了，但可以继续绕过修复就不能继续提交了呗？
6#

从容 (@寂寞的瘦子其实是个死胖子！) | 2016-01-29 21:47

支持。。。
7#

随风的风 (静，以修身:() | 2016-01-29 21:47

请楼下兄弟发表楼上的意见！
8#

DloveJ | 2016-01-29 21:49

第四条不错验证正确（修复点修复）奖励1wb 验证错误（修复点没修复，没修复点修复）扣除1wb
9#

伤心的猫猫 (隔壁老张的爹爹的兄弟。) | 2016-01-29 21:52

请楼下兄弟发表楼上的意见。
10#

从容 (@寂寞的瘦子其实是个死胖子！) | 2016-01-29 21:53

@DloveJ 不成立，那谁来判断验证的正不正确，真要是有能判断的还需要提交者验证么
11#

卖C4的小男孩 | 2016-01-29 21:58

觉得应该出台规定要求漏洞作者的漏洞利用过程原因等等写的详细一点，觉得现在很多人回答都是简单的很关键部分都是一笔带过这与乌云的分享精神是背道而驰的！
12#

DloveJ | 2016-01-29 22:10

@从容大家监督→_→
13#

sunrain (‮　　) | 2016-01-29 22:33

转型关键点啊，大势所趋……
14#

darkkid | 2016-01-29 23:25

仅向厂商公开最坑爹。
15#

从容 (@寂寞的瘦子其实是个死胖子！) | 2016-01-29 23:56

@darkkid 那给黑产公开？
16#

乌云厂商 | 2016-01-30 00:12

这下影响就小多了，tangscan做得到的全部自动化，自动化做不到的弄个外部小团队来二审
17#

xsser | 2016-01-30 00:15

@darkkid 主要是考虑未修复的
18#

xsser | 2016-01-30 00:16

我们最鼓励的还是内容的分享和公开但是对未修复的会考虑限制最终是否对全部用户开放
19#

hkAssassin | 2016-01-30 09:16

@xsser 支持，加油吧！
20#

小表哥 | 2016-01-30 09:46

一切为了（shou）白（bao）帽（hu）子（fei）！
21#

Security (#生活像一把无情刻刀,改变了我们模样 | 2016-01-30 10:34

3. 乌云的使命与灵魂
尊重：作为一个互联网漏洞报告平台，乌云最重要的使命就是尊重。我们观察到目前众多的安全研究者与厂商之间存在着天生的不平等，不尊重。对于漏洞发现者来说，由于缺乏厂商的联系方式，即使发现了漏洞也很难将信息传递给厂商，而厂商也根本无法顾及散落在互联网各地的漏洞信息，最终导致一些漏洞被人遗忘，未得到修复而造成损失。
22#

黑吃黑 (粪土当年万户侯) | 2016-01-30 11:18

已经修复的漏洞可以对公众公开，没有修复的漏洞根据漏洞危害程度对不同级别的白帽子公开。
23#

啊L川 | 2016-01-30 11:44

多乌云多机会！！！！
24#

岛云首席鉴黄师 (乌云核心绿帽子《绿帽子讲婚姻安全》作者) | 2016-01-30 12:42

我觉得有些时候不能纵容厂商的不修复，我接触过不少公司，他们认为只要漏洞不公开，他们就可以不修复，个人认为可以尝试适当的延长公开时间，但是如果一直不公开或者长达一年以上不公开的话，有时候受损失的不是厂商了，而是厂商的客户。
25#

xsser | 2016-01-30 13:02

@岛云首席鉴黄师后续我们会引入执行力更强的漏洞处理机构譬如网信办和信息安全通报中心不修复就下线吧
26#

岛云首席鉴黄师 (乌云核心绿帽子《绿帽子讲婚姻安全》作者) | 2016-01-30 13:10

@xsser 好办法！！！赞！
27#

爱上平顶山 | 2016-01-30 13:25

66666666666666
28#

j14n (一样的烟火.) | 2016-01-30 14:17

最后一张图我截的。。。-_-!
29#

BeenQuiver | 2016-01-30 16:18

@xssergood idea
30#

邪少 | 2016-01-30 18:40

首先就是审核审核速度真慢漏洞存在的但是还需要乱七八糟的验证验证都验证了还要验证
还有就是唉。。为什么就不能公开普通成员嗯
31#

Let a person cry. | 2016-01-30 19:53

首先，又有一大批刷洞冲等级了，其实吧，我发现一个小问题，就是有时候提示实习白帽子可以看了，但还是需要支付WB – -||这让我们这些没WB的菜鸟想学习想看都没机会了
32#

安全小飞侠 (安全小飞侠就是我，我就是安全小飞侠！) | 2016-01-31 01:13

666
33#

酷帥王子 (天之屌，人之神，天人合一乃屌神也！80后靠谱青年！) | 2016-01-31 10:20

@岛云首席鉴黄师非常赞同你的意见
34#

班尼路 (生活如此美丽，快乐一望无际！) | 2016-01-31 20:36

我发现我1月19日提交的一个漏洞一直没人审核再不审核我就叫我大哥叶良辰了哦哈哈
35#

齐迹 (sec.zbj.com 欢迎来撸) | 2016-02-01 09:55

厂商超时忽略不应该自动公开，建议由白帽子严重并判断是否公开。
36#

niliu | 2016-02-01 10:05

效率好高啊~赞~~~
37#

伏地魔 | 2016-02-01 16:32

那只修复了一部分漏洞怎么办，应该要加个部分修复的选项
38#

雷锋 (做好事，不留名。享年23岁) | 2016-02-01 18:24

@带头大哥大哥来了，先请大哥发言！
39#

masker (年少的我们，该去往何方) | 2016-02-02 09:47

一两年都不公开的话，那乌云和360的补天有什么区别？
40#

苏安泽 (Web安全|网络安全|爱好互联网安全的白帽子) | 2016-02-02 17:50

建议：这个很好的功能吧，毕竟在看漏洞细节不都是白帽子，如果是白帽子我想应该会有拥有自己的一个乌云账号来查看漏洞细节，这样使一些没有修复的系统漏洞被黑产利用，降低了很多！
但是毕竟是做黑产的，所以也一定是会技术的吧（除非没技术的中介以外），我相信他们也是会利用挖掘漏洞来提交到乌云得到乌云账号来查看一些没有对公众公开的未修复漏洞，这样很明显的未修复漏洞更加让人黑产的关注的（由于乌云披露漏洞是比如我的Rank为150是普通白帽子，我可以看到的就是向公众和实习白帽子公开的漏洞，如果要看向普通白帽子公开的漏洞首先发布漏洞的洞主Rank要比自己的低才可以看，不让是需要wb的，这点更加可以降低黑产对未修复的漏洞利用度！）
41#

小苹果 | 2016-02-03 00:05

4楼高见