故事概述:一“白帽子”渗透测试世纪佳缘网站,为提升在乌云平台的影响力,拿数据库当中的数据进行验证。世纪佳缘可能因为该“白帽子”触碰逆鳞,所以将其告上法庭。事件不断发酵过程中,猪猪侠表哥继续“顶风作案”,又发世纪佳缘相关漏洞,表明了圈内各位表哥表姐的不满情绪,同时应该代表着乌云对此事的态度。直至今天,乌云正在整改,我们也只能猜测这件事的背后是否造成了乌云的整改。
对于整个事件只想说说自己的一点感受:应该大部分的安全圈人初看此事,觉得世纪佳缘做法有问题,估计那几天世纪佳缘运维人员也挺忙的。但是我们不能仅仅依靠我们的直观判断来看整个事情。同样的整个事件也给了我们很多的警示和改进的地方。
从乌云开始分析:为白帽子提供一个企业与白帽子之间交流的平台,贡献肯定是巨大的,减少了很多的黑产,也就意味着减低了很大的损失。但是这件事情将我们一直试图掩盖的伤疤给又一次揭开了。厂商在如此环境下也是迫不得已的选择了开放式漏洞平台和src,与其被搞黑产,还不如大方的和各位黑客搞好关系。而更多安全爱好者因各种原因也不能去做黑产,同样的也有游离在边缘的灰帽子。而至于我们所说的白帽子,灰帽子,黑帽子都是自己给自己的一个衡量,而不是别人给你的定义。而乌云在这个过程中显然是利用了这种关系,所以才能有乌云的成功和满足市场的需求。对于乌云,从一个企业的角度考虑,白帽子就是员工,厂商就是客户。这是一个大家共识的问题,而对该员工除了问题,个人认为前一段时间顺丰快递的老板处理的十分霸气,而乌云尽管借猪猪侠(个人猜测)之口表述了不满,但是完全没有必要。至于如何把握和掌握好度,应该乌云的公关也比较忙,我们就不瞎猜测了。同样的,这个事情我们思考一下乌云到底有没有责任。举个例子,有个公开卖枪的店铺,有个人在店铺买了一把枪,结果杀人了。当然了例子不是很恰当,但是
-----------待续