最近诸如社保系统漏洞,比亚迪智能汽车系统漏洞等网络安全事件引起了大家的关注,同时发布者补天漏洞响应平台和乌云漏洞响应平台也引起来大家的注意,包括这些平台上所谓的白帽子黑客,到底是什么样的一群人呢?
补天漏洞响应平台是360公司建立的,号称全球最大的漏洞响应平台
旨在帮助企业建立SRC(安全应急响应中心),最大程度避免企业由于安全漏洞遭受损失,尊重白帽子的劳动产出,让白帽子获得收益。建立起厂商与白帽子之间的桥梁,积极推动互联网安全行业的发展。
以下是关于补天如何收集漏洞,如何奖励等内容:
1.什么是补天漏洞响应平台?
补天漏洞响应平台是专门处理第三方web应用漏洞等安全问题的快速响应组织。如果您发现第三方web应用的漏洞问题,欢迎您向我们报告漏洞信息,工作人员会第一时间跟进处理。对于您为提升公共网络安全做出的努力,补天漏洞响应平台将致以诚挚感谢。凡是经过本平台确认的漏洞,我们除了发布安全公告致谢外,还将为漏洞报告者提供相应的奖励。(详见漏洞奖励方案)
2.关于收集漏洞信息的目的?
目前国内很多第三方应用的0day漏洞在外面流传,导致网站处在极端不安全状态。我们希望通过付费收集漏洞的方式,来收集并且推动开发商与安全厂商的升级,进而加速漏洞的修复,降低漏洞带来的风险,最终达到提升网站安全的目的。
3.关于如何使用提交的漏洞数据?
为了更加快速有效的防护,我们会第一时间加入360网站安全检测、网站卫士。同时也会根据需要共享给其他负责任的安全厂家,共同改善网站安全环境。
4.关于我们接收漏洞的类型?
第三方web应用程序的漏洞。(第三方web应用程序的定义,指为广大网站站长所使用的建站程序,如:Discuz、ECShop、ShopEX等)。
5.对漏洞信息有相应的安全保护吗?
我们与漏洞提交者共同执行严格的漏洞发布协议,所有安全信息在按照流程处理完成之前绝不会对外公开。
6.漏洞的处理过程是什么?
漏洞上报之后,由工作人员进行跟进对漏洞分析验证。核实确认漏洞信息后,便与相关厂商共同协商发布漏洞补丁。
7.信息系统用户如何上报漏洞信息?
可以通过网站先提交上报初步的漏洞信息,经过确定后再通过邮件提交漏洞细节。邮件地址为:wuhui-s@360.cn,鉴于漏洞信息的敏感性,建议上报漏洞信息时通过PGP密钥进行加密。
8.漏洞上报者如何知晓漏洞的处理过程?
请随时登入补天漏洞提交网站查询漏洞处理进展。
9.如何支付奖励?
付款方式可以通过银行汇款等方式,可以选择最适合自己的一种方式付款。
10.什么时候才能付款?
一般在确认漏洞后的20个工作日内。
11.我可以提交多少漏洞?
对于漏洞数量没有限制。
12.如果多位研究人员提交相同的漏洞信息,怎么办?
我们可能会收到多个研究人员提交相同的漏洞信息。如果发生这种情况,我们以第一位研究员提供的信息为准。
13.我提交内容后,多久会得到报价?
核实时间有所不同,从几天到几个星期,具体取决于多种因素,比如目前等候处理的漏洞数量,核实过程的复杂程度以及获得并配置目标环境的难易程度。我们平均在两周内给予回复。
乌云漏洞响应平台则是另外一个比较著名的平台,曾经发布了著名的火车票订票网站12306数据泄漏事件。
以下是来自乌云平台自己的简介:
WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”,在这个不做“云”不好意思和人家打招呼的时代,网络安全相关的,无论是技术还是思路都会有点黑色的感觉,所以自然出现了乌云。
你可以叫他乌云,或者巫云,或者我晕,但是我们坚信它是汇聚互联网安全研究者力量的,将带来暴风雨清洗一切的乌云。
在乌云平台上发布漏洞的确认机制:
对于在乌云平台发布的漏洞,所有权归提交者所有,白帽子需要保证研究漏洞的方法、方式、工具及手段的合法性,乌云对此不承担任何法律责任。乌云及团队尽量保证信息的可靠性,但是不绝对保证所有信息来源的可信,其中漏洞证明方法可能存在攻击性,但是一切都是为了说明问题而存在,乌云对此不负担任何责任。厂商在乌云注册时需要确认能够代表企业身份授权白帽子发现安全问题并且对安全问题及时处理和响应,乌云对厂商内部流程导致的问题不负担任何责任。
白帽子黑客
白帽子,是称呼那些所做所为为正面的黑客,他们通过自己的高超安全技术,识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样,系统将可以在被其他人(例如黑帽子)利用之前来修补漏洞;
灰帽子 ,他们擅长攻击技术,但不轻易造成破坏,他们精通攻击与防御,同时头脑里具有信息安全体系的宏观意识;
黑帽子,他们研究攻击技术非法获取利益,通常有着黑色产业链;
脚本小子(script kiddie)是一个贬义词用来描述以黑客自居并沾沾自喜的初学者。 他们钦慕于黑客的能力与探索精神,但与黑客所不同的是,脚本小子通常只是对计算机系统有基础了解与爱好, 但并不注重程序语言、算法、和数据结构的研究,虽然这些对于真正伟大的黑客来说是必须具备的素质。 他们常常从某些网站上复制脚本代码,然后到处粘贴,却并不一定明白他们的方法与原理。因而称之为脚本小子。
脚本小子不像真正的黑客那样发现系统漏洞,他们通常使用别人开发的程序来恶意破坏他人系统。通常的刻板印象为一位没有专科经验的少年,破坏无辜网站企图使得他的朋友感到惊讶。