白帽子如何向各廠商報告漏洞

① 導致阿里雲被暫停合作的漏洞 究竟是什麼

新京報貝殼 財經 訊（記者 羅亦丹）因發現安全漏洞後的處理問題，近日阿里雲引發了一波輿論。

據媒體報道，11月24日，阿里雲安全團隊向美國開源社區Apache（阿帕奇）報告了其所開發的組件存在安全漏洞。12月22日，因發現Apache Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，阿里雲被暫停作為工信部網路安全威脅信息共享平台合作單位6個月。

12月23日，阿里雲在官方微信公號表示，其一名研發工程師發現Log4j2 組件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助，「隨後，該漏洞被外界證實為一個全球性的重大漏洞。阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。」

「之前發現這樣的漏洞都是直接通知軟體開發方，這確實屬於行業慣例，但是《網路產品安全漏洞管理規定》出台後，要求漏洞要同時通報給國家主管部門。由於上述法案頒布的時間不是很長，我覺得漏洞的發現者，最開始也未必能評估到漏洞影響的范圍這么大。所以嚴格來說，這個處理不算冤，但處罰其實也沒有那麼嚴格，一不罰錢，二不影響做業務。」」某安全公司技術總監鄭陸（化名）告訴貝殼 財經 記者。

漏洞影響有多大？

那麼，如何理解Log4j2漏洞的嚴重程度呢？

安全公司奇安信將Apache Log4j2漏洞的CERT風險等級定為「高危」，奇安信描述稱，Apache Log4j 是 Apache 的一個開源項目，通過定義每一條日誌信息的級別，能夠更加細致地控制日誌生成過程，「Log4j2中存在JNDI注入漏洞，當程序將用戶輸入的數據進行日誌記錄時，即可觸發此漏洞，成功利用此漏洞可以在目標伺服器上執行任意代碼。」

安域雲防護的監測數據顯示，截至12月10日中午12點，已發現近1萬次利用該漏洞的攻擊行為。據了解，該漏洞影響范圍大，利用方式簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執行任何多餘操作即可觸發該漏洞，使攻擊者可以遠程式控制制受害者伺服器，90%以上基於java開發的應用平台都會受到影響。

「Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注，不僅在於其易於利用，更在於它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件，它所帶來的危害就像多米諾骨牌一樣，影響深遠。」奇安信安全專家對貝殼 財經 記者表示。

「這個漏洞嚴重性在於兩點，一是log4j作為java日誌的基礎組件使用相當廣泛，Apache和90%以上的java應用受到影響。二是這個漏洞的利用入口非常多，幾乎達到了（只要）是這個漏洞影響的范圍，只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設備名稱等等，以及一些其他來源的被攻擊者污染的數據來源比如網上一些頁面等等。」從事多年漏洞挖掘的安全行業老兵，網友「yuange1975」在微博發文稱。

「簡而言之，該漏洞算是這幾年來最大的漏洞了。」鄭陸表示。

在「yuange1975」看來，該漏洞出來後，因為影響太廣泛，IT圈都在加班加點修補漏洞。不過，一些圈子裡發文章為了說明這個漏洞的嚴重性，又有點用了過高評價這個漏洞的詞語，「我不否認這個漏洞很嚴重，肯定是排名很靠前的漏洞，但是要說是有史以來最大的網路漏洞，就是說目前所有已經發現公布的漏洞里排第一，這顯然有點誇大了。」

「log4j漏洞發現者恐怕發現漏洞時對這個漏洞認識不足，這個應用的范圍以及漏洞觸發路徑，我相信一直到阿里雲上報完漏洞，恐怕漏洞發現者都沒完全明白這個漏洞的真正嚴重性，有可能當成了Apache下一個普通插件的一個漏洞。」yuange1975表示。

9月1日起施行新規 專家：對於維護國家網路安全具有重大意義

據了解，業界的開源條例遵循的是《負責任的安全漏洞披露流程》，這份文件將漏洞披露分為5個階段，依次是發現、通告、確認、修復和發布。發現漏洞並上報給原廠商，是業內常見的程序漏洞披露的做法。

貝殼 財經 記者觀察到，白帽黑客建立漏洞發現與收集的平台並告知企業的做法一度在圈內流行。根據《 財經 天下》的報道，把漏洞報給原廠商而不是平台方，也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵，「最高的能給到十幾萬美元」。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體，都會公開致謝。「對於安全研究人員而言，這種名聲也會讓他們非常在意。

不過，今年9月1日後，這一行業「常見程序」就要發生變化。

7月13日，工信部、國家網信辦、公安部印發《網路產品安全漏洞管理規定》，要求任何組織或者個人設立的網路產品安全漏洞收集平台，應當在兩日內向工業和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。該規定自2021年9月1日起施行。

值得注意的是，《規定》中也有漏洞發現者需要向產品相關提供者通報的條款。如《規定》第七條第一款顯示，發現或者獲知所提供網路產品存在安全漏洞後，應當立即採取措施並組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬於其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。第七條第七款則表示，不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。

奇安信集團副總裁、補天漏洞響應平台主任張卓在接受新京報貝殼 財經 記者采訪時表示，《網路產品安全漏洞管理規定》釋放了一個重要信號：我國將首次以產品視角來管理漏洞，通過對網路產品漏洞的收集、研判、追蹤、溯源，立足於供應鏈全鏈條，對網路產品進行全周期的漏洞風險跟蹤，實現對我國各行各業網路安全的有效防護。在供應鏈安全威脅日益嚴重的全球形勢下，《規定》對於維護國家網路安全，保護網路產品和重要網路系統的安全穩定運行，具有重大意義。

張卓表示，《規定》第十條指出，任何組織或者個人設立的網路產品安全漏洞收集平台，應當向工業和信息化部備案。同時在第六條中指出，鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞，還「鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制，對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。」這兩條規定規范了漏洞收集平台和白帽子的行為，有利於讓白帽子在合法合規的條件下發揮更大的 社會 價值。

② 白帽子報告漏洞到底是為什麼

首先，什麼是白帽子？白帽子應該完整的稱之為白帽子黑客，他們是黑客，會挖漏洞會滲透，但是，他們有道德法律的底線，不會去利用漏洞肆意妄為，而是將漏洞上報，幫助修復漏洞，減少損失。當然，純粹因愛好做白帽子的人也不是非常多，國內出現了如漏洞盒子這樣的漏洞平台，一端連接企業，一端連接白帽子，白帽子提交漏洞給平台，廠商給予相應的獎勵費用給到白帽子。 通過挖漏洞、上報漏洞，減少損失，白帽子也能獲取一些收入

③ 如何看待白帽子在烏雲網提交世紀佳緣網漏洞後被抓

這件事，世紀佳緣內部決定釣魚抓人的那決策者，和網上這些光從法律角度談問題說沒抓錯的人，都很幼稚。
為什麼幼稚，很簡單，因為現在社會的事實是，一個法律制定出來後，不是說人們就都守法了，不守法的人就都被抓了的。法律永遠把整個人群分成兩部分，一部分是守法的人，一部分是不守法就是專門跟你對著乾的人。由於警察資源永遠是有限的，所以導致違法的人永遠存在。
所以公司里這個做決策的人，他要考慮的不僅僅是把守法的人考慮進去，他還要考慮那些不守法的人。因此他的思維就不能單純到認為，法律是禁止滲透的，你滲透我了，我就報警抓你，人家恰恰就是因為幫他的忙才會暴露給他，這一抓，以後怎麼辦，他如何面對那些滲透他網站但什麼也不和他說的那些真正的黑客呢，完全靠網路警察嗎，網警的力量畢竟也是有限的。由此可見世紀佳緣的這個決策者大腦是差一竅。

補充幾句話：

原本的情況是，白帽子自覺把漏洞提交後，廠商有彌補漏洞的機會，以免持續遭到黑產的侵襲。現在世紀佳緣把白帽子一抓，接下來的會發生的事情很好推理，那就是白帽子不再處理世紀佳緣網的漏洞，也就是世紀佳緣網如果再次出現漏洞，被處理被修復的可能性降低，導致我們的用戶數據在世紀佳緣網的伺服器上的安全性降低，導致我們用戶不再願意把自己的數據放到他的伺服器上。由此倒推回去，當初決定抓白帽子的決策，是錯的，和法律支不支持其實沒多大關系。

抓人的前提很簡單，就是你能夠百分之百的控場，或者法律執行者的實力可能百分百控場。假如世紀佳緣的安全團隊實力足夠高，高到能夠防範任何一個黑客攻擊的前提下，你可以抓人，或者是你確保網警的實力能偵破任何一個黑客入侵的案子，而且是迅速偵破，也可以抓人。

④ 關於黑客的三種類型:白帽,灰帽,黑帽

白帽黑客：一般來說，白帽是指安全研究人員或者從事網路和計算機技術防禦的人員。在發現軟體漏洞後，他們通常會將這些漏洞報告給供應商，以便供應商可以立即發布漏洞補丁。白帽通常被大公司僱傭，他們是維護世界網路和計算機安全的重要力量。模擬黑客對產品的攻擊來測試產品的可靠性，也就是業內所說的滲透測試服務。
灰帽黑客：灰帽是指那些知道技術防禦原理，有實力突破這些防禦的黑客。灰帽在黑帽和白帽之間的中間區域。他們不向罪犯出售零日漏洞信息，但向政府、執法機構、情報機構、或者軍方出售零日漏洞信息。然後，政府會利用這些安全漏洞闖入對手或者嫌疑人的系統。一般來說，灰帽的技術實力往往超過白帽和黑帽。人們常常把黑客行為看作是一種嗜好或者是義務，希望通過自己的黑客行為來警醒某些網路或者系統的漏洞，從而達到警醒的目的。
黑帽黑客：說白了就是利用技術專門利用木馬病毒攻擊網站和伺服器以及操作系統，尋找漏洞，以個人意志為出發點，對網路或者電腦用戶進行惡意攻擊的黑客。通常指犯罪分子，他們利用自己的力量發現或開發軟體漏洞和攻擊，或開發其他惡意工具入侵用戶機器竊取數據，如密碼、電子郵件、知識產權、信用卡號或者銀行賬戶憑據。

⑤ 白帽子三項原則

白帽子堅持三個原則：

1、發現重要信息系統和政府網站存在的單點安全漏洞時，要及時向政府部門報送，由政府部門統一組織重要行業部門和政府網站責任單位開展核查整改；

2、對於重要信息系統和政府網站普遍存在的安全漏洞，如果確實需要公開發布，有關單位和個人要客觀准確描述漏洞情況、避免過度炒作；

3、相關漏洞發布平台要加強漏洞報送人員管理，完善漏洞登記制度、建立報送人員檔案，防止漏洞隱患被隨意擴散和惡意利用。

(5)白帽子如何向各廠商報告漏洞擴展閱讀：

白帽子站在黑客的立場攻擊自己的系統以進行安全漏洞排查的程序員。他們用的是黑客（一般指「黑帽子黑客」）慣用的破壞攻擊的方法，行的卻是維護安全之事。他們可以識別計算機系統或網路系統中的安全漏洞，但並不會惡意去利用，而是公布其漏洞。

這樣系統可以在被其他人（例如黑帽子）利用之前修補漏洞。「白帽黑客」是高校培養的網路安全人才，被稱為「信息安全保衛者」，他們是互聯網世界的「守護者」，也是「互聯網+」語境下不可或缺的中堅力量。

參考資料來源：

網路——白帽子

網路——白帽子黑客

⑥ 如何利用烏雲學習白帽子技術

白帽子，描述的是正面的黑客,一般白帽黑客都是受人尊敬的,他們對計算機系統和互聯網進行分析.找出其中的安全漏洞，然後將漏洞報告給廠商,當廠商修復完畢後才公開.這對"減少互聯網攻擊"的宏偉目標提供了非常重要的幫助
在黑客世界裡，所有黑客被歸為三種類型：
白帽子：描述的是正面的黑客,他可以識別計算機系統或網路系統中的安全漏洞，但並不會惡意去利用，而是公布其漏洞。這樣，系統將可以在被其他人（例如黑帽子）利用之前來修補漏洞；
灰帽子 ：他們擅長攻擊技術，但不輕易造成破壞，他們精通攻擊與防禦，同時頭腦里具有信息安全體系的宏觀意識；
黑帽子：他們研究攻擊技術唯一的目的就是惹事生非。

⑦ 烏雲漏洞平台是什麼

烏雲漏洞平台是一個位於廠商和安全研究者之間的安全問題反饋平台，在對安全問題進行反饋處理跟進的同時，為互聯網安全研究者提供一個公益、學習、交流和研究的平台。
烏雲網成立的初衷也是致力於成為一個服務於互聯網IT人士技術開發的互動平台，在業界有著一定的影響力。

⑧ 白帽子黑客是怎樣的一群人

【張小沖的回答(121票)】:我是烏雲的創始人，我來回答下吧，我們最開始做烏雲的目的很簡單，因為我當時負責網路的安全，但是我們根本無法對老闆回答我們是不是做安全了，什麼是安全，根本原因是這個行業的封閉，無論是老闆還是用戶對安全都不了解，開發的人說安全是這個樣子，運維的人說安全應該這么搞，老闆說咱們安全很好啊一年到頭沒有安全事件，老闆又說了沒有安全事件你們這些屌絲天天都在做什麼，而且也發生過很多安全公司利用用很小的安全漏洞來敲詐企業說你這里有個很嚴重的問題，老闆不懂也許一下子就買單了，更不用說由於攻擊者和防禦者的信息不對稱帶來的信息壁壘問題了是的，最開始的原因是為了我們自己工作的原因和讓我們身邊朋友和老闆對我們工作的了解來做這個事情，後來我們發現帶來的收益更大，我們讓安全研究人員通過這個平台能夠學習到其他人的技術和技能，我們讓安全研究人員能互相認識能夠展示自己獲得更高的榮譽和工作機會，我們讓所有企業知道所有最新的安全漏洞狀態，我們也同樣讓更多的普通用戶了解企業如果不做好安全可能給用戶帶來的信息安全威脅於是我們幫助行業完成了一個正向的循環，白帽子發現和報告安全問題，企業修復並披露安全問題，用戶了解信息安全從而對企業提出信息安全要求，企業加強信息安全建設和提升白帽子價值，更多的白帽子學習和加入到這個過程我很難去說烏雲上所有的人都有什麼心理，但是我們一直在往這個方向引導，我自己也是烏雲上的白帽子一員，我個人的驅動力是，我已經有一份穩定的工作，我愛好安全而又沒有任何壓力驅使我使用我的技術去謀取非法利益，我能夠以正確的渠道展示自己，我能夠得到除了騰訊這種封閉企業之外的企業認可，我也可以參與到烏雲開展的各項活動，我能夠認識到優秀的人和他們交流獲得提升，這就是我在烏雲能夠得到的沒有在烏雲過漏洞的筒子就不會體驗到這種讓人開心的感覺啦 ：）【大風的回答(24票)】:白帽子是不黑網站的。嚴格來說，未經授權而進行的滲透測試都屬於耍流氓，根據滲透的深淺程度而判定流氓的大小程度。好吧，根據以上定義一棒子打死了好多人，肯定很多人因為被冒犯而不高興。那我就不抬杠了，題主指的這種情況，如果沒有拖庫的話（根據實際情況判斷，比如日誌分析或者是和白帽子交涉），可以不給用戶發告警提醒。如果有被拖庫的風險的話，本著對用戶負責的態度，應該告知用戶風險，並考慮強制用戶登錄後修改密碼。另外，白帽子願意報告漏洞給你，避免了被黑客利用該漏洞的風險，所以要好吃好喝伺候好了，別嘗試做出會激怒所有白帽子的行為，他不是一個人在戰斗。【知乎用戶的回答(2票)】:根據《三體》中黑暗森林理論，當你不了解這個所謂的白帽子時，就應該把自身的安全做好，說不定白帽子剛好一不小心脫了你褲，如果你不找條新褲子穿上，那你在他面前就只剩下菊花了【eagle black的回答(3票)】:首先推薦大家看@大風寫的《白帽子講web安全》一書，P6就有關於「黑帽子」「白帽子」的詳解。言簡意賅的說：稱職白帽子就是通過網路安全專業技術去鑽研、挖掘計算機、網路系統漏洞的人。但是他/她們不會去做任何的破壞，同時會告知管理員漏洞內容及修復方案。（因目前少部分白帽子的某種行為不當 所以前面加了「稱職」二字）白帽子一般通過以下四種方式去提交漏洞：1、通過自己去聯系網站管理人員提交（雖然比較繁瑣 但是鄙人還是比較欣賞這種方式）2、通過國家信息安全漏洞共享平台提交3、通過官方的漏洞平台（如：騰訊的騰訊安全應急響應中心）4、通過第三方漏洞提交平台（如：WooYun.org | 自由平等開放的漏洞報告平台）個人覺得，大家可以把白帽子可以理解為比較正義的黑客。【知乎用戶的回答(0票)】:好吧，白帽子告訴了你站點哪裡出問題了，你有證據顯示信息泄露范圍就是白帽乾的而不是另一路人馬乾的？其實做甲方能多做一點感謝白帽就很不錯了。白帽冒著被請喝茶的風險還告訴你問題所在，這是啥馬樣的精神？共產國際主義也不過如此吧。責任鑒定問題，查下伺服器日誌，查下資料庫執行的語句，看看是否被人劫了，如果沒有，該做的事做一遍。該感謝的要感謝。如果是被劫了，看損失估計，如果沒有涉及太大就算了，其實大多數都是如此。。說到改密碼，那就得看密碼是如何泄露的，如果資料庫加密的話看看是否是弱口令或網路嗅探上出問題，至少總查的出來吧，看泄露哪些用戶，再讓別人改，本身有些弱口令就是被撞庫出來的。總讓用戶改密碼很蛋疼的。【知乎用戶的回答(0票)】:白帽子大概就是為了技術而技術，而黑帽子就大多是為了利益。面對利益，說一點不動心是不可能的。

⑨ 烏雲 是怎樣的一個網站

背景：
如果有一天你突然發現，整個城市的商店和銀行一到夜裡就門戶洞開，幾乎所有地方都可以自由出入，你會做什麼？有的人會選擇肆意偷竊和破壞，也有的人會選擇去提醒和修復這些問題。

黑客里邊的白帽子就是這樣的一群人。他們有極強的安全敏感性，能夠很快的發現潛藏的漏洞，卻又能在利益的誘惑前，選擇做正確的事情。顧城為他們寫了一句詩(誤)：黑夜給了我黑色的眼睛，而我卻用它尋找光明。

烏雲是什麼

如果理解不了白帽子，可能你很難理解方小頓創立的烏雲漏洞報告平台，很難理解為什麼在漏洞很容易賣出好價錢的情況下，不以盈利為目的烏雲已經堅持了5年，聚集了11000多位白帽子，發現和報告了近11萬個漏洞，除了將白帽子提交的漏洞及時通知廠商進行修復，避免造成更大的影響外，烏雲有著更大的願景。

「安全的問題，在於其封閉性，黑客本身是個很神秘的圈子。（而公眾領域這邊）每個人都擔心出安全問題，但幾乎每個人又都不知道安全問題到底是什麼。」 信息的嚴重不對稱，導致這個行業很難得到改善，掌握信息的人會利用信息進行牟利，而如果最終的使用者都不關心安全問題，那麼應用廠商就不會在安全方面進行投入，如果企業本身都不在乎安全問題，那麼程序員寫起代碼來也就更隨意，同時大多數公司內部的系統管理員與安全人員，他們沒有來自行業與內部的競爭壓力，為企業做安全都是「常規模式」，外加生搬硬套國外的標准做安全管理，日久天長會變得工作效率低下、不負責任。這樣漏洞也就越來越多，最終的結果是用戶將會為這些安全問題付出代價。

烏雲嘗試以新的方式打破這個不對稱：首先將白帽子和廠商聯系起來，讓廠商可以及時發現和修復問題，不再像以往被人黑了還不知道為什麼；然後平台上積累的數十萬個真實漏洞，可供技術人員在開發產品時參考，不犯別人犯過的錯誤；最後烏雲還會對一些新興和頻發的安全問題進行預警，幫助最終用戶增強安全意識，使其在向企業提供個人信息的時候能意識到自己將會承擔的風險。

而當用戶把安全性作為選擇企業產品的考量之一時，企業就會在信息安全上加大投入，開發人員就會有更多的資源和動力去處理安全問題，從而營造出越來越好的安全生態，促使這個生態形成，就是烏雲要做的事情。
有田筆記答疑地址：http://www.shengliyoutian.com 啟鵝1440588332WEI信notes888