故事要从一位父亲写给第四届网络安全大会的信说起,这位父亲在信中提到自己的儿子作为一名白帽子向Wooyun提交了世纪佳缘的一个SQL注入漏洞,因为在测试注入漏洞时跑了4000条用户的信息,世纪佳缘在修复漏洞后报警,并以送礼物的名义获取了白帽子的地址(据传),将其逮捕。而这位父亲表示不能理解为啥自己的儿子会被查水表。
在开始故事之前,先科普一下何谓白帽子:
根据百度百科-白帽子词条的定义,白帽子描述的是正面的黑客,可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样将可以在漏洞被其他人(例如黑帽子)利用之前及时修补漏洞。
简单的说,就是白帽子是善良的黑客,他们挖掘漏洞却不恶意利用而是及时将问题反馈给厂商,使其在被黑客利用入侵前进行修复。
回到故事当中,先看看曝光的信件:
根据信件中白帽子的信息,找到具体的漏洞如下:
该事件已在安全业界引起较广泛的关注,不少人认为厂商的做法很坑爹并且不道德,但是在法律上却是合理的。因为从法律规定上来说,所有未经授权的渗透测试都是违法的。
而且此类不仅涉及到数据库还获取了上千的核心数据信息等行为更是令各家厂商所无法忍受的。
事件发生后,网上也有不少针对于此的评论:
聚沙安全黑板报 – 连载一:向Wooyun提交厂商漏洞被查水表,怪谁?
乌云 – 世纪佳缘某处SQL注入涉及千万会员信息 | WooYun-2015-158176
iDoNews – 世纪佳缘钓鱼白帽子,互联网安全的边界如何界定?
安全检测有风险,各路黑阔在渗透之前也要做好准备。
2 条评论
月黑风高夜,访问博客时!
嗨,你好吗?伟大的博主!