WooYun:烏雲網際網路安全漏洞公佈平臺

WooYun:烏雲網際網路安全漏洞公佈平臺是一個位於廠商和安全研究者之間的漏洞報告平臺,是國內一個立足於計算機廠商和安全研究者之間的安全問題反饋及釋出平臺,使用者可以線上提交發現的網站安全漏洞,企業使用者也可通過該平臺獲知自己網站的漏報。

WooYun:烏雲網際網路安全漏洞公佈平臺

烏雲網上線幾年來,一直是IT軟體開發者技術交流的論壇,所探討的技術也僅是各自領域內所接觸的各類技術BUG,並通過網上互動交流促進軟體開發技術的發展。烏雲網成立的初衷也是致力於成為一個服務於網際網路IT人士技術開發的互動平臺,在業界有著一定的影響力。

烏雲網鑑於在此次洩密事件中的自身出現的各種問題及壓力,宣佈暫時關閉網站,其官方網站釋出公告稱:“最近頻繁披露的安全事件及帶來的影響表明,一方面我們企業的整體安全建設還不夠完善,但是同樣反饋出我們烏雲平臺和社群無論是溝通渠道還是反饋及響應機制都存在一些嚴重的問題。

2010年5月 烏雲網上線,據其官方網站對自身的定位,目標成為“自由平等的”的漏洞報告平臺。為計算機廠商和安全研究者提供技術上的各種參考以及漏洞bug的修復。同時,該網站在網路安全“圈裡”被視為一家黑客圈的安全問題反饋分享平臺,使用者自由上傳漏洞資訊,等待廠商核實並修復。業內安全人士稱,該平臺對刺激各公司改善安全設施、改善中國網際網路的安全現狀有幫助,對改善中國網際網路的安全現狀都有幫助。烏雲網的發展也一直處於低調發展中。

2011年11月 烏雲網已經有超過500個白帽子安全研究人員、120多個廠商及一些政府網際網路安全部門參與到平臺,接近4000個安全問題得到反饋和處理,沉澱了大量的安全例項和資料,對幫助企業避免和解決各種安全問題起到了不小的影響。

2011年11月,烏雲網根據平臺會員提供的各種材料,連續披露京東商城、支付寶、網易等國內著名網際網路企業在使用者資訊保安防護中存在高危漏洞,引起較大的社會反響,然而,出於各種考慮,其所報告的漏洞都遭到相關方面官方否認。

2011年12月21日,國內知名技術社群CSDN的600餘萬用戶資料被洩露。此後又陸續有訊息稱,包括多玩800萬用戶資訊、7K7K小遊戲的2000萬用戶、網站的1000萬用戶資料,以及人人網、U9網、百合網、開心網、天涯、世紀佳緣等網站資料庫也通過烏雲網漏洞釋出平臺遭遇不同程度的外洩。而在此之前,烏雲(wooyun)引起了人們眾多關注,作為一個廠商和安全研究者之間的安全問題反饋平臺,烏雲提供給網際網路公司很多漏洞及風險報告,幫助他們防患於未然,然而,並未得到各方的積極迴應和足夠重視。

2011年12月22日,烏雲網再次釋出公告稱,因新網管理後臺許可權疏漏,導致新網數十萬域名管理密碼或已洩漏。經其資料測試,部分域名管理密碼有效。使用者洩密事件愈演愈烈。

WooYun是一個位於廠商和安全研究者之間的安全問題反饋平臺,在對安全問題進行反饋處理跟進的同時,為網際網路安全研究者提供一個公益、學習、交流和研究的平臺。其名字來源於目前網際網路上的“雲”,在這個不做“雲”不好意思和人家打招呼的時代,網路安全相關的,無論是技術還是思路都會有點黑色的感覺,所以自然出現了烏雲。你可以叫他烏雲,或者巫雲,或者我暈,但是我們堅信它是匯聚網際網路安全研究者力量的,將帶來暴風雨清洗一切的烏雲。

作為一個網際網路漏洞報告平臺,烏雲最重要的使命就是尊重。我們觀察到目前眾多的安全研究者與廠商之間存在著天生的不平等,不尊重。對於漏洞發現者來說,由於缺乏廠商的聯絡方式,即使發現了漏洞也很難將資訊傳遞給廠商,而廠商也根本無法顧及散落在網際網路各地的漏洞資訊,最終導致一些漏洞被人遺忘,未得到修復而造成損失。另外一方面,一些廠商對漏洞研究者的報告也很不尊重,甚至是一種輕視的態度,在出現問題之後對問題不是迅速修復以確保網際網路使用者的安全而是通過其他手段嘗試掩蓋漏洞甚至是否認漏洞的存在,在這種不尊重的前提下,漏洞研究者就可能直接將漏洞公開,直接損害了廠商的利益。破壞和建設一樣,同樣作為一種技術的存在,我們嘗試喚回大家對技術的尊重,烏雲將跟蹤漏洞的報告情況,所有跟技術有關的細節都會對外公開,在這個平臺裡,漏洞研究者和廠商是平等的,烏雲為平等而努力。

猜你喜歡

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *