(樂購網專欄 作者:曲子龍)談了幾年的網絡安全,談來談去竟然開始覺得可悲,我以為一直可悲的只有自己,沒想到時至今日做了網絡尖刀這個Team,有了一個良性的圈子后才發現,悲傷的是我們的行業,寫這篇文章不是要一棒子打死一群人,因為在我們合作的廠商中騰訊應急響應中心、金山KSSG、淘寶、網易、好大夫、嘟嘟牛,一直都很不錯,所以這篇文章很直接了當的針對一些可笑又可恥的廠商,過去的事兒我不提及,就事論事,就拿我團隊成員的遭遇說起。
發現漏洞,告知漏洞,竟然熱臉貼了冷屁股!
和其它的白帽子一樣,錢途作為網絡尖刀的白帽子一枚,每天利用工作閑暇的時間去給一些大型網站做安全檢測,檢測到漏洞就提交到第三方漏洞平臺,然后由第三方平臺通知廠商處理漏洞,當然有時候也是直接聯系廠商,然后告知對方網站管理員修補漏洞。
漸漸的我們形成了這樣的一個圈子,因為提供的漏洞很多的時候都是嚴重的高危漏洞,如果不修補被黑帽利用,很容易造成直接的經濟損失,所以廠商也為此推出一些獎勵機制,以鼓勵這種為推動網絡安全發展的白帽子們,當然就在上個月騰訊應急響應中心剛剛獎勵了錢途Ipad 一枚,以鼓勵更多的人加入這樣的白帽子行列里。
然而不是所有的廠商都是這樣,前幾天錢途發現了91助手合作伙伴91如意彩網站存在兩個致命的高危漏洞,一個是直接可以突破進入網站后臺,查看調閱用戶信息,甚至可以進行提現!另外一個利用積分可以無限刷彩金的漏洞(PS:彩金是該站的虛擬交易幣,可以當RMB一樣直接去購買彩票!)兩個漏洞懂網站的人都知道,這肯定是嚴重的高危漏洞,如果被惡意利用,定會給91如意彩網站造成龐大的損失。
于是錢途馬上聯系了91如意彩網站的在線客服,客服對此并未理睬,于是錢途用了測試帳號告知,真的存在漏洞,并且用一個測試帳號“刷”出了100萬人民幣后,告知客服,盡快安排相關技術對話,修補該漏洞,而客服的回答竟然是“把你的帳號告訴我,我把100萬處理收回!”
高危漏洞 贈予殘廢獎勵你打的是誰的臉?
提供有價值的高危漏洞,做為白帽子你給予獎勵也好,不給予也罷,至少我們的努力換你一句謝謝還不可以么?而91如意彩客服竟然給錢途的是始料未及的冷漠,他冷的不是錢途自己,而是我們這個team,甚至是我們這個圈子,一個每天因愛好而聚集,無私挖洞,提交漏洞,共同交流維護廠商利益的集體。
而下面的處理方式更讓我們始料未及,錢途吐槽了幾句他們不重視網絡安全這樣解決是沒用的后,客服竟然答復錢途,自稱為了表示歉意,“為錢途贈送1000積分,這一千積分可以兌換2元彩金!”的獎勵!
我們沒說要你的獎勵,做為白帽子我們首先需要的是你對我們的幸苦勞動道一聲謝謝足矣,而你91如意彩你給予我們的是什么?不理睬?冷漠?還是諷刺?一個高危漏洞可以刷100萬網站現金的漏洞,一個能進后臺查看用戶信息,甚至可以提現的漏洞,你們大氣的還給我們價值2元的網站消費彩金?
這就是白帽子的生活么?看了之后我忽然覺得這是自討沒趣,自找罪受,正是有了你這樣的廠商,才造成越來越多的用戶信息外泄,越來越多的網民因為你們的不重視,造成他們的隱私,信息都被你們給出賣!用戶信息被外泄,被惡意利用,被傳播,造成金錢損失,名譽損失,到底誰的錯?一個巴掌拍不響,真的就是黑客攻擊利用者一個人的么?
我做一個形象的比喻,A是一個強盜,B是一個公民,C是一個開保險公司的企業,D是一個小販。D把東西存放在C的公司里,B告訴C說他們保險公司墻上有洞,那個洞里能鉆進去人,偷走你的東西,C冷漠的沒有搭理B!然后某天A偷了C保險公司里的所有的資料!C憤憤不平的去了官府,自稱自己丟了東西,而沒有回眸當B告知他的時候,他是如何對待B的,然后又跑到D面前冒充受害者一句對不起引起D的同情,他從沒提及B對他的勸告,不是他忘記了,是他沒臉說!
不重視說真話的人 以后沒人和你說真話!
文章寫到這里顯然文筆已經很啰嗦,作為白帽子我覺得這是恥辱,對待這樣的廠商,我們也無話可說,各位奮戰在安全圈子里的白帽子醒醒吧,那些不尊重白帽子的公司,就沒資格做廠商,以后不會有人提交他的漏洞,既然你不重視,我們唯一能做的只有把存在漏洞的事情以及影響,預知告訴廣大網民,作為白帽子我們最初的目的就是想要從愛好的角度鉆研技術,然后在實踐的過程中,保護網民。
我們沒有能力改變一個廠商的態度,所以只能從保護用戶的角度思考,最后還是那句話,不尊重白帽子,你就沒資格做廠商!
推薦閱讀
速途網訊 近日,360公司發布系統修復工具——360急救盤。360急救盤是一款裝在U盤上的急救系統,當用戶遇到系統崩潰、無法啟動等問題時,360急救盤可幫助用戶搶救文件,轉存重要數據,恢復崩潰前的操作,甚至還可以快>>>詳細閱讀
本文標題:不尊重白帽子,你沒就沒資格做廠商
地址:http://www.brh9h.cn/a/11/20130205/259226.html
網友點評
精彩導讀
科技快報
品牌展示