白帽子如何向各厂商报告漏洞

① 导致阿里云被暂停合作的漏洞 究竟是什么

新京报贝壳 财经 讯（记者 罗亦丹）因发现安全漏洞后的处理问题，近日阿里云引发了一波舆论。

据媒体报道，11月24日，阿里云安全团队向美国开源社区Apache（阿帕奇）报告了其所开发的组件存在安全漏洞。12月22日，因发现Apache Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。

12月23日，阿里云在官方微信公号表示，其一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助，“随后，该漏洞被外界证实为一个全球性的重大漏洞。阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。”

“之前发现这样的漏洞都是直接通知软件开发方，这确实属于行业惯例，但是《网络产品安全漏洞管理规定》出台后，要求漏洞要同时通报给国家主管部门。由于上述法案颁布的时间不是很长，我觉得漏洞的发现者，最开始也未必能评估到漏洞影响的范围这么大。所以严格来说，这个处理不算冤，但处罚其实也没有那么严格，一不罚钱，二不影响做业务。””某安全公司技术总监郑陆（化名）告诉贝壳 财经 记者。

漏洞影响有多大？

那么，如何理解Log4j2漏洞的严重程度呢？

安全公司奇安信将Apache Log4j2漏洞的CERT风险等级定为“高危”，奇安信描述称，Apache Log4j 是 Apache 的一个开源项目，通过定义每一条日志信息的级别，能够更加细致地控制日志生成过程，“Log4j2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。”

安域云防护的监测数据显示，截至12月10日中午12点，已发现近1万次利用该漏洞的攻击行为。据了解，该漏洞影响范围大，利用方式简单，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制受害者服务器，90%以上基于java开发的应用平台都会受到影响。

“Apache Log4j RCE 漏洞之所以能够引起安全圈的极大关注，不仅在于其易于利用，更在于它巨大的潜在危害性。当前几乎所有的技术巨头都在使用该开源组件，它所带来的危害就像多米诺骨牌一样，影响深远。”奇安信安全专家对贝壳 财经 记者表示。

“这个漏洞严重性在于两点，一是log4j作为java日志的基础组件使用相当广泛，Apache和90%以上的java应用受到影响。二是这个漏洞的利用入口非常多，几乎达到了（只要）是这个漏洞影响的范围，只要有输入的地方就受到影响。用户或者攻击者直接可以输入的地方比如登录用户名、查询信息、设备名称等等，以及一些其他来源的被攻击者污染的数据来源比如网上一些页面等等。”从事多年漏洞挖掘的安全行业老兵，网友“yuange1975”在微博发文称。

“简而言之，该漏洞算是这几年来最大的漏洞了。”郑陆表示。

在“yuange1975”看来，该漏洞出来后，因为影响太广泛，IT圈都在加班加点修补漏洞。不过，一些圈子里发文章为了说明这个漏洞的严重性，又有点用了过高评价这个漏洞的词语，“我不否认这个漏洞很严重，肯定是排名很靠前的漏洞，但是要说是有史以来最大的网络漏洞，就是说目前所有已经发现公布的漏洞里排第一，这显然有点夸大了。”

“log4j漏洞发现者恐怕发现漏洞时对这个漏洞认识不足，这个应用的范围以及漏洞触发路径，我相信一直到阿里云上报完漏洞，恐怕漏洞发现者都没完全明白这个漏洞的真正严重性，有可能当成了Apache下一个普通插件的一个漏洞。”yuange1975表示。

9月1日起施行新规 专家：对于维护国家网络安全具有重大意义

据了解，业界的开源条例遵循的是《负责任的安全漏洞披露流程》，这份文件将漏洞披露分为5个阶段，依次是发现、通告、确认、修复和发布。发现漏洞并上报给原厂商，是业内常见的程序漏洞披露的做法。

贝壳 财经 记者观察到，白帽黑客建立漏洞发现与收集的平台并告知企业的做法一度在圈内流行。根据《 财经 天下》的报道，把漏洞报给原厂商而不是平台方，也会有潜在的好处。包括微软、苹果和谷歌在内的厂商对报告漏洞的人往往会有奖励，“最高的能给到十几万美元”。更重要的是名誉奖励。几乎每一家厂商对第一个报告漏洞的人或者集体，都会公开致谢。“对于安全研究人员而言，这种名声也会让他们非常在意。

不过，今年9月1日后，这一行业“常见程序”就要发生变化。

7月13日，工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》，要求任何组织或者个人设立的网络产品安全漏洞收集平台，应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。该规定自2021年9月1日起施行。

值得注意的是，《规定》中也有漏洞发现者需要向产品相关提供者通报的条款。如《规定》第七条第一款显示，发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。第七条第七款则表示，不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

奇安信集团副总裁、补天漏洞响应平台主任张卓在接受新京报贝壳 财经 记者采访时表示，《网络产品安全漏洞管理规定》释放了一个重要信号：我国将首次以产品视角来管理漏洞，通过对网络产品漏洞的收集、研判、追踪、溯源，立足于供应链全链条，对网络产品进行全周期的漏洞风险跟踪，实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下，《规定》对于维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，具有重大意义。

张卓表示，《规定》第十条指出，任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。同时在第六条中指出，鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为，有利于让白帽子在合法合规的条件下发挥更大的 社会 价值。

② 白帽子报告漏洞到底是为什么

首先，什么是白帽子？白帽子应该完整的称之为白帽子黑客，他们是黑客，会挖漏洞会渗透，但是，他们有道德法律的底线，不会去利用漏洞肆意妄为，而是将漏洞上报，帮助修复漏洞，减少损失。当然，纯粹因爱好做白帽子的人也不是非常多，国内出现了如漏洞盒子这样的漏洞平台，一端连接企业，一端连接白帽子，白帽子提交漏洞给平台，厂商给予相应的奖励费用给到白帽子。 通过挖漏洞、上报漏洞，减少损失，白帽子也能获取一些收入

③ 如何看待白帽子在乌云网提交世纪佳缘网漏洞后被抓

这件事，世纪佳缘内部决定钓鱼抓人的那决策者，和网上这些光从法律角度谈问题说没抓错的人，都很幼稚。
为什么幼稚，很简单，因为现在社会的事实是，一个法律制定出来后，不是说人们就都守法了，不守法的人就都被抓了的。法律永远把整个人群分成两部分，一部分是守法的人，一部分是不守法就是专门跟你对着干的人。由于警察资源永远是有限的，所以导致违法的人永远存在。
所以公司里这个做决策的人，他要考虑的不仅仅是把守法的人考虑进去，他还要考虑那些不守法的人。因此他的思维就不能单纯到认为，法律是禁止渗透的，你渗透我了，我就报警抓你，人家恰恰就是因为帮他的忙才会暴露给他，这一抓，以后怎么办，他如何面对那些渗透他网站但什么也不和他说的那些真正的黑客呢，完全靠网络警察吗，网警的力量毕竟也是有限的。由此可见世纪佳缘的这个决策者大脑是差一窍。

补充几句话：

原本的情况是，白帽子自觉把漏洞提交后，厂商有弥补漏洞的机会，以免持续遭到黑产的侵袭。现在世纪佳缘把白帽子一抓，接下来的会发生的事情很好推理，那就是白帽子不再处理世纪佳缘网的漏洞，也就是世纪佳缘网如果再次出现漏洞，被处理被修复的可能性降低，导致我们的用户数据在世纪佳缘网的服务器上的安全性降低，导致我们用户不再愿意把自己的数据放到他的服务器上。由此倒推回去，当初决定抓白帽子的决策，是错的，和法律支不支持其实没多大关系。

抓人的前提很简单，就是你能够百分之百的控场，或者法律执行者的实力可能百分百控场。假如世纪佳缘的安全团队实力足够高，高到能够防范任何一个黑客攻击的前提下，你可以抓人，或者是你确保网警的实力能侦破任何一个黑客入侵的案子，而且是迅速侦破，也可以抓人。

④ 关于黑客的三种类型:白帽,灰帽,黑帽

白帽黑客：一般来说，白帽是指安全研究人员或者从事网络和计算机技术防御的人员。在发现软件漏洞后，他们通常会将这些漏洞报告给供应商，以便供应商可以立即发布漏洞补丁。白帽通常被大公司雇佣，他们是维护世界网络和计算机安全的重要力量。模拟黑客对产品的攻击来测试产品的可靠性，也就是业内所说的渗透测试服务。
灰帽黑客：灰帽是指那些知道技术防御原理，有实力突破这些防御的黑客。灰帽在黑帽和白帽之间的中间区域。他们不向罪犯出售零日漏洞信息，但向政府、执法机构、情报机构、或者军方出售零日漏洞信息。然后，政府会利用这些安全漏洞闯入对手或者嫌疑人的系统。一般来说，灰帽的技术实力往往超过白帽和黑帽。人们常常把黑客行为看作是一种嗜好或者是义务，希望通过自己的黑客行为来警醒某些网络或者系统的漏洞，从而达到警醒的目的。
黑帽黑客：说白了就是利用技术专门利用木马病毒攻击网站和服务器以及操作系统，寻找漏洞，以个人意志为出发点，对网络或者电脑用户进行恶意攻击的黑客。通常指犯罪分子，他们利用自己的力量发现或开发软件漏洞和攻击，或开发其他恶意工具入侵用户机器窃取数据，如密码、电子邮件、知识产权、信用卡号或者银行账户凭据。

⑤ 白帽子三项原则

白帽子坚持三个原则：

1、发现重要信息系统和政府网站存在的单点安全漏洞时，要及时向政府部门报送，由政府部门统一组织重要行业部门和政府网站责任单位开展核查整改；

2、对于重要信息系统和政府网站普遍存在的安全漏洞，如果确实需要公开发布，有关单位和个人要客观准确描述漏洞情况、避免过度炒作；

3、相关漏洞发布平台要加强漏洞报送人员管理，完善漏洞登记制度、建立报送人员档案，防止漏洞隐患被随意扩散和恶意利用。

(5)白帽子如何向各厂商报告漏洞扩展阅读：

白帽子站在黑客的立场攻击自己的系统以进行安全漏洞排查的程序员。他们用的是黑客（一般指“黑帽子黑客”）惯用的破坏攻击的方法，行的却是维护安全之事。他们可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞。

这样系统可以在被其他人（例如黑帽子）利用之前修补漏洞。“白帽黑客”是高校培养的网络安全人才，被称为“信息安全保卫者”，他们是互联网世界的“守护者”，也是“互联网+”语境下不可或缺的中坚力量。

参考资料来源：

网络——白帽子

网络——白帽子黑客

⑥ 如何利用乌云学习白帽子技术

白帽子，描述的是正面的黑客,一般白帽黑客都是受人尊敬的,他们对计算机系统和互联网进行分析.找出其中的安全漏洞，然后将漏洞报告给厂商,当厂商修复完毕后才公开.这对"减少互联网攻击"的宏伟目标提供了非常重要的帮助
在黑客世界里，所有黑客被归为三种类型：
白帽子：描述的是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞。这样，系统将可以在被其他人（例如黑帽子）利用之前来修补漏洞；
灰帽子 ：他们擅长攻击技术，但不轻易造成破坏，他们精通攻击与防御，同时头脑里具有信息安全体系的宏观意识；
黑帽子：他们研究攻击技术唯一的目的就是惹事生非。

⑦ 乌云漏洞平台是什么

乌云漏洞平台是一个位于厂商和安全研究者之间的安全问题反馈平台，在对安全问题进行反馈处理跟进的同时，为互联网安全研究者提供一个公益、学习、交流和研究的平台。
乌云网成立的初衷也是致力于成为一个服务于互联网IT人士技术开发的互动平台，在业界有着一定的影响力。

⑧ 白帽子黑客是怎样的一群人

【张小冲的回答(121票)】:我是乌云的创始人，我来回答下吧，我们最开始做乌云的目的很简单，因为我当时负责网络的安全，但是我们根本无法对老板回答我们是不是做安全了，什么是安全，根本原因是这个行业的封闭，无论是老板还是用户对安全都不了解，开发的人说安全是这个样子，运维的人说安全应该这么搞，老板说咱们安全很好啊一年到头没有安全事件，老板又说了没有安全事件你们这些屌丝天天都在做什么，而且也发生过很多安全公司利用用很小的安全漏洞来敲诈企业说你这里有个很严重的问题，老板不懂也许一下子就买单了，更不用说由于攻击者和防御者的信息不对称带来的信息壁垒问题了是的，最开始的原因是为了我们自己工作的原因和让我们身边朋友和老板对我们工作的了解来做这个事情，后来我们发现带来的收益更大，我们让安全研究人员通过这个平台能够学习到其他人的技术和技能，我们让安全研究人员能互相认识能够展示自己获得更高的荣誉和工作机会，我们让所有企业知道所有最新的安全漏洞状态，我们也同样让更多的普通用户了解企业如果不做好安全可能给用户带来的信息安全威胁于是我们帮助行业完成了一个正向的循环，白帽子发现和报告安全问题，企业修复并披露安全问题，用户了解信息安全从而对企业提出信息安全要求，企业加强信息安全建设和提升白帽子价值，更多的白帽子学习和加入到这个过程我很难去说乌云上所有的人都有什么心理，但是我们一直在往这个方向引导，我自己也是乌云上的白帽子一员，我个人的驱动力是，我已经有一份稳定的工作，我爱好安全而又没有任何压力驱使我使用我的技术去谋取非法利益，我能够以正确的渠道展示自己，我能够得到除了腾讯这种封闭企业之外的企业认可，我也可以参与到乌云开展的各项活动，我能够认识到优秀的人和他们交流获得提升，这就是我在乌云能够得到的没有在乌云过漏洞的筒子就不会体验到这种让人开心的感觉啦 ：）【大风的回答(24票)】:白帽子是不黑网站的。严格来说，未经授权而进行的渗透测试都属于耍流氓，根据渗透的深浅程度而判定流氓的大小程度。好吧，根据以上定义一棒子打死了好多人，肯定很多人因为被冒犯而不高兴。那我就不抬杠了，题主指的这种情况，如果没有拖库的话（根据实际情况判断，比如日志分析或者是和白帽子交涉），可以不给用户发告警提醒。如果有被拖库的风险的话，本着对用户负责的态度，应该告知用户风险，并考虑强制用户登录后修改密码。另外，白帽子愿意报告漏洞给你，避免了被黑客利用该漏洞的风险，所以要好吃好喝伺候好了，别尝试做出会激怒所有白帽子的行为，他不是一个人在战斗。【知乎用户的回答(2票)】:根据《三体》中黑暗森林理论，当你不了解这个所谓的白帽子时，就应该把自身的安全做好，说不定白帽子刚好一不小心脱了你裤，如果你不找条新裤子穿上，那你在他面前就只剩下菊花了【eagle black的回答(3票)】:首先推荐大家看@大风写的《白帽子讲web安全》一书，P6就有关于“黑帽子”“白帽子”的详解。言简意赅的说：称职白帽子就是通过网络安全专业技术去钻研、挖掘计算机、网络系统漏洞的人。但是他/她们不会去做任何的破坏，同时会告知管理员漏洞内容及修复方案。（因目前少部分白帽子的某种行为不当 所以前面加了“称职”二字）白帽子一般通过以下四种方式去提交漏洞：1、通过自己去联系网站管理人员提交（虽然比较繁琐 但是鄙人还是比较欣赏这种方式）2、通过国家信息安全漏洞共享平台提交3、通过官方的漏洞平台（如：腾讯的腾讯安全应急响应中心）4、通过第三方漏洞提交平台（如：WooYun.org | 自由平等开放的漏洞报告平台）个人觉得，大家可以把白帽子可以理解为比较正义的黑客。【知乎用户的回答(0票)】:好吧，白帽子告诉了你站点哪里出问题了，你有证据显示信息泄露范围就是白帽干的而不是另一路人马干的？其实做甲方能多做一点感谢白帽就很不错了。白帽冒着被请喝茶的风险还告诉你问题所在，这是啥马样的精神？共产国际主义也不过如此吧。责任鉴定问题，查下服务器日志，查下数据库执行的语句，看看是否被人劫了，如果没有，该做的事做一遍。该感谢的要感谢。如果是被劫了，看损失估计，如果没有涉及太大就算了，其实大多数都是如此。。说到改密码，那就得看密码是如何泄露的，如果数据库加密的话看看是否是弱口令或网络嗅探上出问题，至少总查的出来吧，看泄露哪些用户，再让别人改，本身有些弱口令就是被撞库出来的。总让用户改密码很蛋疼的。【知乎用户的回答(0票)】:白帽子大概就是为了技术而技术，而黑帽子就大多是为了利益。面对利益，说一点不动心是不可能的。

⑨ 乌云 是怎样的一个网站

背景：
如果有一天你突然发现，整个城市的商店和银行一到夜里就门户洞开，几乎所有地方都可以自由出入，你会做什么？有的人会选择肆意偷窃和破坏，也有的人会选择去提醒和修复这些问题。

黑客里边的白帽子就是这样的一群人。他们有极强的安全敏感性，能够很快的发现潜藏的漏洞，却又能在利益的诱惑前，选择做正确的事情。顾城为他们写了一句诗(误)：黑夜给了我黑色的眼睛，而我却用它寻找光明。

乌云是什么

如果理解不了白帽子，可能你很难理解方小顿创立的乌云漏洞报告平台，很难理解为什么在漏洞很容易卖出好价钱的情况下，不以盈利为目的乌云已经坚持了5年，聚集了11000多位白帽子，发现和报告了近11万个漏洞，除了将白帽子提交的漏洞及时通知厂商进行修复，避免造成更大的影响外，乌云有着更大的愿景。

“安全的问题，在于其封闭性，黑客本身是个很神秘的圈子。（而公众领域这边）每个人都担心出安全问题，但几乎每个人又都不知道安全问题到底是什么。” 信息的严重不对称，导致这个行业很难得到改善，掌握信息的人会利用信息进行牟利，而如果最终的使用者都不关心安全问题，那么应用厂商就不会在安全方面进行投入，如果企业本身都不在乎安全问题，那么程序员写起代码来也就更随意，同时大多数公司内部的系统管理员与安全人员，他们没有来自行业与内部的竞争压力，为企业做安全都是“常规模式”，外加生搬硬套国外的标准做安全管理，日久天长会变得工作效率低下、不负责任。这样漏洞也就越来越多，最终的结果是用户将会为这些安全问题付出代价。

乌云尝试以新的方式打破这个不对称：首先将白帽子和厂商联系起来，让厂商可以及时发现和修复问题，不再像以往被人黑了还不知道为什么；然后平台上积累的数十万个真实漏洞，可供技术人员在开发产品时参考，不犯别人犯过的错误；最后乌云还会对一些新兴和频发的安全问题进行预警，帮助最终用户增强安全意识，使其在向企业提供个人信息的时候能意识到自己将会承担的风险。

而当用户把安全性作为选择企业产品的考量之一时，企业就会在信息安全上加大投入，开发人员就会有更多的资源和动力去处理安全问题，从而营造出越来越好的安全生态，促使这个生态形成，就是乌云要做的事情。
有田笔记答疑地址：http://www.shengliyoutian.com 启鹅1440588332WEI信notes888