当前位置:WooYun >> 关于

关于乌云网

      欢迎加群(乌云wooyun):wy.zone.ci


1. WooYun是什么

WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于互联网上的“云”,在这个不做“云”不好意思和人家打招呼的时代,网络安全相关的,无论是技术还是思路都会有点黑色的感觉,所以自然出现了乌云。

你可以叫他乌云,或者巫云,或者我晕,但是我们坚信它是汇聚互联网安全研究者力量的,将带来暴风雨清洗一切的乌云。

乌云网是国内一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台,用户可以在线提交发现的网站安全漏洞,企业用户也可通过该平台获知自己网站的漏报。乌云网上线几年来,一直是IT软件开发者技术交流的论坛,所探讨的技术也仅是各自领域内所接触的各类技术BUG,并通过网上互动交流促进软件开发技术的发展。乌云网成立的初衷也是致力于成为一个服务于互联网IT人士技术开发的互动平台,在业界有着一定的影响力。

2. WooYun网站发展历程


乌云网☁(WOOYUN.ORG)--网站发展历程


  • 2016年7月20日

    👉乌云官方网站关闭。显示通知 “乌云及相关服务升级公告。

  • 2011年12月31日

    👉乌云鉴于在此次泄密事件中的自身出现的各种问题及压力,宣布暂时关闭网站,其官方网站发布公告称:“最近频繁披露的安全事件及带来的影响表明,一方面我们企业的整体安全建设还不够完善,但是同样反馈出我们乌云平台和社区无论是沟通渠道还是反馈及响应机制都存在一些严重的问题。”猜测称,乌云网暂时关闭可能与其漏洞披露机制尚未完善,且存在法律风险有关。还有业界人士认为:有关乌云网宣布暂时关站的原因,金山安全专家李铁军向记者表示,更有可能是来自政府以及企业的压力,“社会影响太大,已经远远超出漏洞公布的技术层面了。”

  • 2011年12月22日

    👉乌云网再次发布公告称,因新网管理后台权限疏漏,导致新网数十万域名管理密码或已泄漏。经其数据测试,部分域名管理密码有效。用户泄密事件愈演愈烈。

  • 2011年12月21日

    👉国内知名技术社区CSDN的600余万用户资料被泄露。此后又陆续有消息称,包括多玩800万用户信息、7K7K小游戏的2000万用户、网站的1000万用户资料,以及人人网、U9网、百合网、开心网、天涯、世纪佳缘等网站数据库也通过乌云网漏洞发布平台遭遇不同程度的外泄。而在此之前,乌云(wooyun)引起了人们众多关注,作为一个厂商和安全研究者之间的安全问题反馈平台,乌云提供给互联网公司很多漏洞及风险报告,帮助他们防患于未然,然而,并未得到各方的积极回应和足够重视。

  • 2011年11月

    👉乌云网根据平台会员提供的各种材料,连续披露京东商城、支付宝、网易等国内著名互联网企业在用户信息安全防护中存在高危漏洞,引起较大的社会反响,然而,出于各种考虑,其所报告的漏洞都遭到相关方面官方否认。

  • 2011年11月

    👉乌云网已经有超过500个白帽子安全研究人员、120多个厂商及一些政府互联网安全部门参与到平台,接近4000个安全问题得到反馈和处理,沉淀了大量的安全实例和资料,对帮助企业避免和解决各种安全问题起到了不小的影响。

  • 2010年5月

    👉乌云网上线,据其官方网站对自身的定位,目标成为“自由平等的”的漏洞报告平台。为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。同时,该网站在网络安全“圈里”被视为一家黑客圈的安全问题反馈分享平台,用户自由上传漏洞信息,等待厂商核实并修复。业内安全人士称,该平台对刺激各公司改善安全设施、改善中国互联网的安全现状有帮助,对改善中国互联网的安全现状都有帮助。乌云网的发展也一直处于低调发展中。


3. 信息安全相关保护和声明

  • 我们对注册的用户做严格的校验,所有安全信息在按照流程处理完成之前不会对外公开,厂商必须得到足够的身份证明才能获得相关的安全信息,包括但不限于采用在线证明、后台的审核以及线下的沟通等方式,而白帽子注册必须通过Email的验证,为了保证信息的高可靠性和价值,对于提交虚假漏洞信息的用户在证实后,我们将根据情况扣除用户的Rank甚至直接删除用户。

    对于在乌云平台发布的漏洞,所有权归提交者所有,白帽子需要保证研究漏洞的方法、方式、工具及手段的合法性,乌云对此不承担任何法律责任。乌云及团队尽量保证信息的可靠性,但是不绝对保证所有信息来源的可信,其中漏洞证明方法可能存在攻击性,但是一切都是为了说明问题而存在,乌云对此不负担任何责任。厂商在乌云注册时需要确认能够代表企业身份授权白帽子发现安全问题并且对安全问题及时处理和响应,乌云对厂商内部流程导致的问题不负担任何责任。

    用户在使用乌云的相关服务时,必须遵守中华人民共和国相关法律法规的规定,用户应同意将不会利用本平台进行任何违法或不正当的活动,包括但不限于下列行为∶


    一 上载、展示、张贴、传播或以其它方式传送含有下列内容之一的信息:
    1)反对宪法所确定的基本原则的;
    2) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
    3) 损害国家荣誉和利益的;
    4) 煽动民族仇恨、民族歧视、破坏民族团结的;
    5) 破坏国家宗教政策,宣扬邪教和封建迷信的;
    6) 散布谣言,扰乱社会秩序,破坏社会稳定的;
    7) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
    8) 侮辱或者诽谤他人,侵害他人合法权利的;
    9) 含有虚假、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容;
    10)含有中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其它内容的;

    二 不得为任何非法目的而使用乌云及乌云提供的相关信息:
    1)不得利用乌云网站进行任何可能对互联网或移动网正常运转造成不利影响的行为;
    2)不得利用乌云提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料;
    3)不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益;
    4)不得利用乌云网络服务系统进行任何不利于乌云的行为;

    三 不利用乌云服务和网站相关信息从事以下活动:
    1) 未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
    2) 未经允许,对计算机信息网络功能进行删除、修改或者增加的;
    3) 未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
    4) 故意制作、传播计算机病毒等破坏性程序的;
    5) 其他危害计算机信息网络安全的行为。

4. 乌云的使命与灵魂


乌云☁的使命与灵魂


  • 尊重

    作为一个互联网漏洞报告平台,乌云最重要的使命就是尊重。我们观察到众多的安全研究者与厂商之间存在着天生的不平等,不尊重。对于漏洞发现者来说,由于缺乏厂商的联系方式,即使发现了漏洞也很难将信息传递给厂商,而厂商也根本无法顾及散落在互联网各地的漏洞信息,最终导致一些漏洞被人遗忘,未得到修复而造成损失。另外一方面,一些厂商对漏洞研究者的报告也很不尊重,甚至是一种轻视的态度,在出现问题之后对问题不是迅速修复以确保互联网用户的安全而是通过其他手段尝试掩盖漏洞甚至是否认漏洞的存在,在这种不尊重的前提下,漏洞研究者就可能直接将漏洞公开,直接损害了厂商的利益。破坏和建设一样,同样作为一种技术的存在,我们尝试唤回大家对技术的尊重,乌云将跟踪漏洞的报告情况,所有跟技术有关的细节都会对外公开,在这个平台里,漏洞研究者和厂商是平等的,乌云为平等而努力。

  • 进步

    我们关注技术本身,相信Know it then hack it,只有对原理了然于心,才能做到真正的自由,只有突破更多的限制,才可能获得真正意义上的技术进步,我们尝试与加入WooYun的厂商及研究人员一起研究问题的最终根源,做出正确的评价并给出修复措施,最终一起进步。

  • 意义

    我们坚信一切存在的东西都是有意义的,我们也相信乌云能够给研究人员和厂商带来价值,这种价值将是乌云存在的意义,研究人员可以通过乌云发布自己的技术成果,展示自己的实力,厂商可以通过乌云来发现自己存在的和可能存在的问题,我们甚至鼓励厂商对漏洞研究者作出鼓励或者直接招聘人才。但更为深远的价值和意义在于,我们和厂商一起对用户信息安全所承担的责任,构建健康良性的安全漏洞生态环境使得安全行业得到更好的发展。

5. 合作伙伴和关注乌云的朋友们

感谢对乌云做出贡献的如下朋友:

小飞@xiuno,竹园四居士,huiji@dota,80sec众人,以及查理.布朗(我们还是喜欢这个名字)的咖啡和美女服务员