作者:Sms大陆特派猿 (@Specialmb),原文地址:解密所谓"公益"性漏洞提交网站生存之道
作者:admin 发布于:2013-10-25 4:33 Friday 分类:娱乐 编辑
自网络科技越来越发达之后,伴随着黑客攻击,数据泄露,互联网安全慢慢的被各类企业重视,随着不断的加强,补漏,这个环境也貌似很平静的发展着,突然有一天,出现了一些网络漏洞提交平台,那么博主就来细数一下,现存的安全漏洞提交平台种类和生存之道.
1. 企业内部漏洞提交平台
这类算不上公益,但是是属于真正的你提东西,就会真正的给你相应的金钱或者物质奖励的,有代表性的比如有Google,fackbook,推特,360,腾讯,百度等,其中Google的态度最好,奖金尤为丰富,听说腾讯今年也准备推广现金奖励,不知真假.
这类企业不具有营利性质,只是单纯的搜集自身问题,查缺补漏,多为响应企业安全部门负责。
2. 地下黑市漏洞平台(国际性)
这类属于真正的黑产,类型也比较杂,混迹其中的有全世界的超nb型的黑客,也有骗子,有代表性的比如有俄罗斯地下病毒木马交易场(高质量很多),1337day(骗子代表),已经死去的由两兄弟开设的漏洞平台,exploit-db(高质量很多),各国黑客聚会的地下交易,美国的政府部门漏洞内部交易(不管质量如何多高价)靠出售漏洞和情报服务为存的公司(这类的代表有美国的Endgame,法国的VUPEN,其中这两家公司的99%均为高质量)
这类团体旗帜比较鲜明,是黑的就是黑的,是黑白都有的就是黑白都有,其中有些会公开部分超期漏洞,或者质量低的,也有些是靠先搜集他人提交漏洞,然后再在背后做一个私人性质的漏洞交易场,一般人还不会卖给你,这类的代表有exploit-db(他的主站是一个漏洞提交平台,公布着世界各地黑客们的成果,但是其也维护着一个规模不小的内部漏洞共享平台,不认识或者来历不明的会被拒绝进入)Endgame(他虽然名字听起来是像搞游戏的,但是真心不是,该公司的ceo和美国政府关系要好,其中cto还曾在国防部任职,大多的漏洞交易基本都和政府有关)vupen(谁给钱,足够诱惑都会卖) 个体户(基本都是在数一数二公司任职的大牛),总的概括这类就是属于大锅饭。
3. 中国的"公益"漏洞提交平台 (本文的重点)
这类多属于无公司类,也有公司退休员工创办,首先我说的是,跟有些人的说辞一样,没有针对性,老外常常说中国人虚伪,这个不是没有根据的,那我们就从这个漏洞提交平台来对比一下,老外的漏洞提交平台,你如果可以有几篇高质量的漏洞,会由管理员邀请你加入内部漏洞交易场,同时也会允许你在自己的漏洞信息里加联系方式做个人推广等等,人家也会告诉你,我会从哪里收钱,同时告诉你,你可以得到什么,再来说说中国的,首先,你得到的心理暗示会是我可以通过提交漏洞增大名气! 会好找工作! 我们是非营利性的! 建站目的是为了让网络更安全! 推动网络安全发展! ...这恰恰迎合了某些"大牛"们的爱慕虚荣的心理特征,以为自己真的可以像传说中的那样通过某某漏洞提交平台提交漏洞之后就真的能够飞黄腾达,迎娶白富美,出任ceo,走向人生巅峰了,后来可能觉得只有心理暗示不够,又加了一些比如虚拟金币,方便面啦,图书,小工具和电子产品类的一些东西,并且一再向自己的会员强调几点: 1.首先我们是公益性的,没有收益的(.....)2.你给我们提交漏洞是为了网络安全发展并且可以让你出名并且更容易找工作(......发展出名不说,但是我想说的是公司最终还是要看你真本事的,你提交过一亿个漏洞,最终也只会做为考核参考而不是作为最终对你的审核条件范畴de...)3.你提交漏洞是在做好事(.....这个没错,闭着眼睛都可以让自己赚钱的事情能不是好事么..)4. 我们会有奖励(...呵呵 1000:1 看的懂吗?看不懂的话回家好好学学数学去) 5. 我们真的是公益性的 (......guen gun ) 那到底真实情况是怎么样的呢? 首先 1. 介个厂商被人发现问题提交上去了,审核奖励给id的金币就不用我多说了吧? 2. 靠着"大牛"们提交的洞洞背地里跟部分企业签订漏洞发现协议(据可靠调查,加起来金额过百万)"大牛"们得到的只是金币,四驱赛车,ipad 最多没人几万钞票什么的,可是"公益"站负责人得到的可不只这些呢,也许有人发现了会解释说,我们公益站也是需要运营,也是需要成本滴呀,但是我想说的是,需要没错,你利用你的会员给自己赚钱这事情你告诉那帮"大牛"们了吗?也许你又会解释说,我们是产桑站住的,但是具体的每家金额你告诉你的会员们了吗?恐怕那群抱着飞黄腾达幻想的“大牛”们看到了协议里的金额数字,各个都会以泪洗面.....甚至有些,直到死,天天熬夜也都奋战在给别人赚钱的第一线上...也许有一天互相打招呼会变成:A 你个公益漏洞的"大牛"! B 你*m的才是公益大牛呢!
关于这类的评论,不予质评,因为说多了还会有人骂我.....最后想说的是,你要是真的想出名并且获得认可的同时能得到数额可观的物质或者金钱奖励的话,可以去公司内部的负责人处提交,不论是公司还是政府单位,都会是有奖励的..而且gv人家还是很爽快的直接给钱....关于想认真搞技术的,可以多去一些专业类的技术站点,csdn+pedy+pudn+github对于安全人员来说就是很不错的选择,氛围也都很好,平时想学习也可以参考一些技术资料,想放松的话看看新闻联播或者上上专业娱乐论坛就好。
万宁:本文无版权,欢迎转载,改版权,添油加醋,改错别字等等
乌云白帽子们的吐槽:
1#
YY-2012 (坐等0day三个月。。) | 2013-11-03 15:49
纯属转载
2#
Forever80s | 2013-11-03 15:52
完全公益服务器维护宽带运营谁买单?中国这个穷地方真正公益比和尚的头发都少
3#
mango (待我乌币800万 姑娘嫁我可好) | 2013-11-03 16:25
@YY-2012 @Forever80s 维护费???CNVD去哪了 政府赞助、
4#
x防部 | 2013-11-03 16:39
源头在这:http://t.qq.com/p/t/191600130002734
5#
x防部 | 2013-11-03 16:41
不用你说我也知道是乌云谁发的!
6#
x防部 | 2013-11-03 16:42
天融信真TMD出人才!
7#
YY-2012 (坐等0day三个月。。) | 2013-11-03 16:51
Sms大陆特派猿: 虽然犹豫了很久...可能导致更多的黑客骂我...很抱歉我影响你装*了...也可能影响到了某大牛偷偷赚钱...还有可能被国际黑客全球追杀...但是....你**的想骂人或者背地里搞别人可以随意....不跟小人计较了......
10月26日 05:53
8#
x防部 | 2013-11-03 16:53
作者的个人博客:http://www.secbus.com/
另外他还有几个站我就不发了....
9#
无敌L.t.H (:门安天京北爱我) | 2013-11-03 17:04
说得好像众测不存在一样?
10#
y35u (www.3hack.com(速度围观)) | 2013-11-03 17:06
有了wooyun,网络是更安全了还是更不安全了
11#
momo (Do-re-mi-fa-so-la-ti-do) | 2013-11-03 17:12
凡事都有利有弊,凡事都有人在赚钱,有人在为他们劳动。
12#
Jumbo | 2013-11-03 17:20
靠着"大牛"们提交的洞洞背地里跟部分企业签订漏洞发现协议
13#
nauscript (@VIP @齐迹 @园长 @ACGT @z7y @小胖子@PX1624) | 2013-11-03 17:22
@x防部 这哥们也太小人了吧 被封号之后真是各种乱咬 开各种微博骂 现在又发帖黑乌云 这不是闲的蛋疼么
14#
一只猿 (头像是小嶋阳菜,不用感谢) | 2013-11-03 17:34
@x防部 真相帝
15#
xsser (十根阳具有长短!!) | 2013-11-03 18:25
当时我就呵呵了
16#
小胖子 (我承认,我爱过VIP,我仅仅是爱过,因为他死了。) | 2013-11-03 19:18
@xsser 我看了他另外一个帖子说关于某云某胖子的回复,当时我就呵呵了,谁他妈给他这样装逼的勇气!???
17#
xsser (十根阳具有长短!!) | 2013-11-03 19:33
@小胖子 乌云胖子太多 估计不是说你吧
18#
小胖子 (我承认,我爱过VIP,我仅仅是爱过,因为他死了。) | 2013-11-03 19:39
@xsser http://www.secbus.com/?post=87 靠近下面一点点的地方,别理这傻逼了,被封禁了来诋毁wooyun的。
19#
YY-2012 (坐等0day三个月。。) | 2013-11-03 19:53
@小胖子 对我就是从这站找到的
20#
Finger (Save water. Shower with your girlfriend.) | 2013-11-03 21:01
只能呵呵了
21#
Windy (windsay.net) | 2013-11-03 21:06
这个。呵呵。。
22#
made in china (为什么别人@不了我,就因为我带空格吗?) | 2013-11-03 22:26
pedy是啥?不是pediy吗?
23#
一只猿 (头像是小嶋阳菜,不用感谢) | 2013-11-03 22:45
呵呵
24#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-11-04 14:36
我就看看,不说话……
留言评论(旧系统):