谈了几年的网络安全,谈来谈去竟然开始觉得可悲,我以为一直可悲的只有自己,没想到时至今日做了网络尖刀这个Team,有了一个良性的圈子后才发现,悲伤的是我们的行业,写这篇文章不是要一棒子打死一群人,因为在我们合作的厂商中腾讯应急响应中心、金山KSSG、淘宝、网易、好大夫、嘟嘟牛,一直都很不错,所以这篇文章很直接了当的针对一些可笑又可耻的厂商,过去的事儿我不提及,就事论事,就拿我团队成员的遭遇说起。
发现漏洞,告知漏洞,竟然热脸贴了冷屁股!
和其它的白帽子一样,钱途作为网络尖刀的白帽子一枚,每天利用工作闲暇的时间去给一些大型网站做安全检测,检测到漏洞就提交到第三方漏洞平台,然后由第三方平台通知厂商处理漏洞,当然有时候也是直接联系厂商,然后告知对方网站管理员修补漏洞。
渐渐的我们形成了这样的一个圈子,因为提供的漏洞很多的时候都是严重的高危漏洞,如果不修补被黑帽利用,很容易造成直接的经济损失,所以厂商也为此推出一些奖励机制,以鼓励这种为推动网络安全发展的白帽子们,当然就在上个月腾讯应急响应中心刚刚奖励了钱途Ipad 一枚,以鼓励更多的人加入这样的白帽子行列里。
然而不是所有的厂商都是这样,前几天钱途发现了91助手合作伙伴91如意彩网站存在两个致命的高危漏洞,一个是直接可以突破进入网站后台,查看调阅用户信息,甚至可以进行提现!另外一个利用积分可以无限刷彩金的漏洞(PS:彩金是该站的虚拟交易币,可以当RMB一样直接去购买彩票!)两个漏洞懂网站的人都知道,这肯定是严重的高危漏洞,如果被恶意利用,定会给91如意彩网站造成庞大的损失。
于是钱途马上联系了91如意彩网站的在线客服,客服对此并未理睬,于是钱途用了测试帐号告知,真的存在漏洞,并且用一个测试帐号“刷”出了100万人民币后,告知客服,尽快安排相关技术对话,修补该漏洞,而客服的回答竟然是“把你的帐号告诉我,我把100万处理收回!”
高危漏洞 赠予残废奖励你打的是谁的脸?
提供有价值的高危漏洞,做为白帽子你给予奖励也好,不给予也罢,至少我们的努力换你一句谢谢还不可以么?而91如意彩客服竟然给钱途的是始料未及的冷漠,他冷的不是钱途自己,而是我们这个team,甚至是我们这个圈子,一个每天因爱好而聚集,无私挖洞,提交漏洞,共同交流维护厂商利益的集体。
而下面的处理方式更让我们始料未及,钱途吐槽了几句他们不重视网络安全这样解决是没用的后,客服竟然答复钱途,自称为了表示歉意,“为钱途赠送1000积分,这一千积分可以兑换2元彩金!”的奖励!
我们没说要你的奖励,做为白帽子我们首先需要的是你对我们的幸苦劳动道一声谢谢足矣,而你91如意彩你给予我们的是什么?不理睬?冷漠?还是讽刺?一个高危漏洞可以刷100万网站现金的漏洞,一个能进后台查看用户信息,甚至可以提现的漏洞,你们大气的还给我们价值2元的网站消费彩金?
这就是白帽子的生活么?看了之后我忽然觉得这是自讨没趣,自找罪受,正是有了你这样的厂商,才造成越来越多的用户信息外泄,越来越多的网民因为你们的不重视,造成他们的隐私,信息都被你们给出卖!用户信息被外泄,被恶意利用,被传播,造成金钱损失,名誉损失,到底谁的错?一个巴掌拍不响,真的就是黑客攻击利用者一个人的么?
我做一个形象的比喻,A是一个强盗,B是一个公民,C是一个开保险公司的企业,D是一个小贩。D把东西存放在C的公司里,B告诉C说他们保险公司墙上有洞,那个洞里能钻进去人,偷走你的东西,C冷漠的没有搭理B!然后某天A偷了C保险公司里的所有的资料!C愤愤不平的去了官府,自称自己丢了东西,而没有回眸当B告知他的时候,他是如何对待B的,然后又跑到D面前冒充受害者一句对不起引起D的同情,他从没提及B对他的劝告,不是他忘记了,是他没脸说!
不重视说真话的人 以后没人和你说真话!
文章写到这里显然文笔已经很啰嗦,作为白帽子我觉得这是耻辱,对待这样的厂商,我们也无话可说,各位奋战在安全圈子里的白帽子醒醒吧,那些不尊重白帽子的公司,就没资格做厂商,以后不会有人提交他的漏洞,既然你不重视,我们唯一能做的只有把存在漏洞的事情以及影响,预知告诉广大网民,作为白帽子我们最初的目的就是想要从爱好的角度钻研技术,然后在实践的过程中,保护网民。
我们没有能力改变一个厂商的态度,所以只能从保护用户的角度思考,最后还是那句话,不尊重白帽子,你就没资格做厂商!
本文来自:互联网信息安全第一媒体 - 网络尖刀(http:www.mcbang.com/)尊重作者版权,转载请注明帖子来源, 原文地址:http://www.mcbang.com/article-16634-1.html