WooYun:烏云互聯(lián)網(wǎng)安全漏洞公布平臺(tái)是一個(gè)位于廠商和安全研究者之間的漏洞報(bào)告平臺(tái),是國內(nèi)一個(gè)立足于計(jì)算機(jī)廠商和安全研究者之間的安全問題反饋及發(fā)布平臺(tái)����,用戶可以在線提交發(fā)現(xiàn)的網(wǎng)站安全漏洞,企業(yè)用戶也可通過該平臺(tái)獲知自己網(wǎng)站的漏報(bào)��。
烏云網(wǎng)上線幾年來�,一直是IT軟件開發(fā)者技術(shù)交流的論壇,所探討的技術(shù)也僅是各自領(lǐng)域內(nèi)所接觸的各類技術(shù)BUG���,并通過網(wǎng)上互動(dòng)交流促進(jìn)軟件開發(fā)技術(shù)的發(fā)展��。烏云網(wǎng)成立的初衷也是致力于成為一個(gè)服務(wù)于互聯(lián)網(wǎng)IT人士技術(shù)開發(fā)的互動(dòng)平臺(tái)�����,在業(yè)界有著一定的影響力�。
烏云網(wǎng)鑒于在此次泄密事件中的自身出現(xiàn)的各種問題及壓力�����,宣布暫時(shí)關(guān)閉網(wǎng)站,其官方網(wǎng)站發(fā)布公告稱:“最近頻繁披露的安全事件及帶來的影響表明���,一方面我們企業(yè)的整體安全建設(shè)還不夠完善����,但是同樣反饋出我們?yōu)踉破脚_(tái)和社區(qū)無論是溝通渠道還是反饋及響應(yīng)機(jī)制都存在一些嚴(yán)重的問題��。
2010年5月 烏云網(wǎng)上線���,據(jù)其官方網(wǎng)站對(duì)自身的定位,目標(biāo)成為“自由平等的”的漏洞報(bào)告平臺(tái)����。為計(jì)算機(jī)廠商和安全研究者提供技術(shù)上的各種參考以及漏洞bug的修復(fù)。同時(shí)�����,該網(wǎng)站在網(wǎng)絡(luò)安全“圈里”被視為一家黑客圈的安全問題反饋分享平臺(tái)���,用戶自由上傳漏洞信息����,等待廠商核實(shí)并修復(fù)。業(yè)內(nèi)安全人士稱�,該平臺(tái)對(duì)刺激各公司改善安全設(shè)施、改善中國互聯(lián)網(wǎng)的安全現(xiàn)狀有幫助���,對(duì)改善中國互聯(lián)網(wǎng)的安全現(xiàn)狀都有幫助�����。烏云網(wǎng)的發(fā)展也一直處于低調(diào)發(fā)展中�。
2011年11月 烏云網(wǎng)已經(jīng)有超過500個(gè)白帽子安全研究人員����、120多個(gè)廠商及一些政府互聯(lián)網(wǎng)安全部門參與到平臺(tái),接近4000個(gè)安全問題得到反饋和處理�����,沉淀了大量的安全實(shí)例和資料�,對(duì)幫助企業(yè)避免和解決各種安全問題起到了不小的影響。
2011年11月�,烏云網(wǎng)根據(jù)平臺(tái)會(huì)員提供的各種材料,連續(xù)披露京東商城����、支付寶����、網(wǎng)易等國內(nèi)著名互聯(lián)網(wǎng)企業(yè)在用戶信息安全防護(hù)中存在高危漏洞����,引起較大的社會(huì)反響,然而���,出于各種考慮��,其所報(bào)告的漏洞都遭到相關(guān)方面官方否認(rèn)��。
2011年12月21日��,國內(nèi)知名技術(shù)社區(qū)CSDN的600余萬用戶資料被泄露。此后又陸續(xù)有消息稱����,包括多玩800萬用戶信息、7K7K小游戲的2000萬用戶���、網(wǎng)站的1000萬用戶資料���,以及人人網(wǎng)�、U9網(wǎng)���、百合網(wǎng)�����、開心網(wǎng)���、天涯、世紀(jì)佳緣等網(wǎng)站數(shù)據(jù)庫也通過烏云網(wǎng)漏洞發(fā)布平臺(tái)遭遇不同程度的外泄�����。而在此之前����,烏云(wooyun)引起了人們眾多關(guān)注,作為一個(gè)廠商和安全研究者之間的安全問題反饋平臺(tái)���,烏云提供給互聯(lián)網(wǎng)公司很多漏洞及風(fēng)險(xiǎn)報(bào)告�,幫助他們防患于未然��,然而����,并未得到各方的積極回應(yīng)和足夠重視�。
2011年12月22日���,烏云網(wǎng)再次發(fā)布公告稱���,因新網(wǎng)管理后臺(tái)權(quán)限疏漏,導(dǎo)致新網(wǎng)數(shù)十萬域名管理密碼或已泄漏����。經(jīng)其數(shù)據(jù)測(cè)試,部分域名管理密碼有效�����。用戶泄密事件愈演愈烈����。
WooYun是一個(gè)位于廠商和安全研究者之間的安全問題反饋平臺(tái)��,在對(duì)安全問題進(jìn)行反饋處理跟進(jìn)的同時(shí)�,為互聯(lián)網(wǎng)安全研究者提供一個(gè)公益、學(xué)習(xí)����、交流和研究的平臺(tái)��。其名字來源于目前互聯(lián)網(wǎng)上的“云”����,在這個(gè)不做“云”不好意思和人家打招呼的時(shí)代���,網(wǎng)絡(luò)安全相關(guān)的���,無論是技術(shù)還是思路都會(huì)有點(diǎn)黑色的感覺,所以自然出現(xiàn)了烏云�。你可以叫他烏云,或者巫云�����,或者我暈����,但是我們堅(jiān)信它是匯聚互聯(lián)網(wǎng)安全研究者力量的,將帶來暴風(fēng)雨清洗一切的烏云���。
作為一個(gè)互聯(lián)網(wǎng)漏洞報(bào)告平臺(tái)�����,烏云最重要的使命就是尊重����。我們觀察到目前眾多的安全研究者與廠商之間存在著天生的不平等,不尊重�。對(duì)于漏洞發(fā)現(xiàn)者來說,由于缺乏廠商的聯(lián)系方式����,即使發(fā)現(xiàn)了漏洞也很難將信息傳遞給廠商,而廠商也根本無法顧及散落在互聯(lián)網(wǎng)各地的漏洞信息��,最終導(dǎo)致一些漏洞被人遺忘���,未得到修復(fù)而造成損失�。另外一方面��,一些廠商對(duì)漏洞研究者的報(bào)告也很不尊重����,甚至是一種輕視的態(tài)度����,在出現(xiàn)問題之后對(duì)問題不是迅速修復(fù)以確?�;ヂ?lián)網(wǎng)用戶的安全而是通過其他手段嘗試掩蓋漏洞甚至是否認(rèn)漏洞的存在��,在這種不尊重的前提下�,漏洞研究者就可能直接將漏洞公開����,直接損害了廠商的利益。破壞和建設(shè)一樣�,同樣作為一種技術(shù)的存在,我們嘗試喚回大家對(duì)技術(shù)的尊重�,烏云將跟蹤漏洞的報(bào)告情況,所有跟技術(shù)有關(guān)的細(xì)節(jié)都會(huì)對(duì)外公開��,在這個(gè)平臺(tái)里�����,漏洞研究者和廠商是平等的�����,烏云為平等而努力。
站長(zhǎng)資訊網(wǎng)
