当前位置:WooYun >> 帮助

帮助

      欢迎加群(乌云wooyun):wy.zone.ci

关于WooYun的若干问题

  1. 如何加入WooYun
  2. WooYun关心哪些漏洞
  3. 我提交漏洞可以获得什么
  4. 漏洞的处理流程是什么
  5. 我是白帽子应该注意什么
  6. 我是厂商应该注意什么

1. 如何加入WooYun

假设你需要为WooYun提交厂商的漏洞,你可以选择匿名提交也可以注册为白帽子来提交,提交漏洞的时候如果选择获取邀请码则可以在漏洞审核通过之后获得邀请码,匿名提交的漏洞为了保证正确性会需要审核才能通过,不在WooYun平台里的厂商漏洞也需要经过审核,我们会积极联系厂商,但是如果无法联系到厂商,我们可能会直接公开漏洞。

假设你想在WooYun成为厂商以处理本公司的漏洞,你需要在WooYun证明自己的身份,包括以公司的安全负责人的邮箱注册,我们会在线下进行验证,通过验证之后你就会出现在厂商列表里,此后你可以在WooYun跟踪自己企业的安全漏洞。

简单来说,对于白帽子提交安全问题证明你的价值来加入WooYun,对于厂商证明你的身份来加入WooYun

2. WooYun关心哪些漏洞

我们关心那些可能对互联网造成较大影响的漏洞,所以我们欢迎影响力较大的互联网企业来注册,对于漏洞的选择也会较为严格,对于一般情况下漏洞级别较低而且影响很小的漏洞我们可能会征求厂商的意见来选择是否接受进入WooYun数据库,这可以保证WooYun的质量和可信力。

另外,对于厂商有益的一些信息都可以作为漏洞提交到平台,譬如一些被证明的入侵事件和钓鱼欺诈之类对业务有影响的信息,可以较好帮助企业迅速解决相关问题。

我们相信对于漏洞的最好证明方式就是最大程度的利用,我们鼓励用截图或者录像的方式做出漏洞危害证明,这同样是对技术的一个提高。

3. 我提交漏洞可以获得什么

通过在WooYun提交漏洞,白帽子可以获得Rank和厂商的感激,我们会联系厂商对做出重大贡献的白帽子送出礼物或者以其他方式表示感激,高Rank意味着你在WooYun拥有更多的信誉,你将可以看到更多的信息,在WooYun中拥有更大的自由度和话语权,获得尊重同时也是安全行业就业时拥有更大的筹码,乌云在一些项目,活动以及一些奖励中选取参与白帽子时,也会将rank作为一个重要的评估因素

Rank的评估主要在于几个方面,一方面来自于厂商对提交信息的价值评估(如果厂商没有加入平台,WooYun会对提交的信息价值进行评估),另外一方面来源于所提交信息所蕴藏的技术学习价值评估(譬如提交新的数据库未覆盖到的问题类型或者利用技巧分析思路独特有新意值得学习的,都会获得双倍的积分),除此之外,白帽子对信息的评价也是Rank价值评估的一个重要因素。

4. 漏洞的处理流程是什么

漏洞作为敏感信息在WooYun是被严格保密的,未授权的用户是无法查看其他用户的任何信息,漏洞在厂商未确认和修复之前不会对外公开,厂商在得到漏洞通知时将有五天的时间进行确认,确认之后漏洞会持续保持一个月以让厂商进行修复,对于忽略和一个月内未修复的漏洞,为了督促厂商重视网站漏洞安全问题,同时为了用户交流学习,WooYun将进行公开,同时将该漏洞报送国家信息安全漏洞共享平台,由于其中漏洞证明方法可能存在攻击性,公布内容会做相关处理,涉及重大安全隐患的漏洞,本站会严格保密,在影响消除前不予以公布。对于五天之内未确认的漏洞,将会被当做厂商忽略处理,直接对外公开。暂时未联系到厂商的严重或者典型安全问题会在代领漏洞列表里暂时保持,等待厂商的认领,等待时间暂定为一个月。

在乌云上的信息可能处于以下几个状态:

a)等待审核:对于没有厂商负责或者匿名提交的信息,为了保证准确性,我们可能会在提交后在后台进行审核,对于一些不合适的信息,我们可能不会公开(譬如政府站点和网络的安全问题,影响不大风险级别较低的小安全问题)

b)最新提交:审核通过的最新安全问题会在前台有显示,信息会被通知到厂商等待厂商的处理

c)等待认领:由于WooYun的力量有限,目前还不能及时联系所有的厂商,所以某些安全问题会处于这个状态,我们会和其他的朋友一起尽快联系到厂商,对于一个月内没有联系到的厂商我们会根据情况决定是否公开相关问题细节。

d)最新确认:厂商已经确认问题的存在,并且准备修复

e)最新公开:问题已经被修复或者信息过了保护期(一个月),我们将会逐级公开安全问题(分级包括核心白帽子,白帽子以及一些第三方安全机构),以帮助其他的厂商避免问题的发生,同时也给其他白帽子提供学习的机会

我们可能会选择那些已经证明的对用户已经造成重大信息安全损失的安全问题或者事件提前进行预警,譬如入侵和数据泄露事件,已经开始被利用的安全漏洞,钓鱼欺诈等信息,以在厂商修复和处理安全问题之前协助用户避免遭受进一步的损失

5. 我是白帽子应该注意什么

首先我们承认每一位白帽子的努力和价值,很高兴我们能够在这个平台一起学习和进步并且为我们的信息安全一起做出自己的贡献。我们非常鼓励和欢迎有新意的和对厂商有直接危害的信息上报来证明你的价值和实力,但是我们希望你在提交信息时能够:

a)尽量保证问题的准确性,包括精确的漏洞分类以及合适的评价

b)在标题里可以描述出现问题的厂商和漏洞类型;简要描述里可以描述此问题可能导致的后果和原因,但是由于此信息对外公开所以不要披露细节

c)在厂商处理之前不要扩散任何问题的细节避免给厂商带来损失

d)详尽的描述和尽可能准确的信息在体现你技术的同时,也是在为厂商和其他白帽子创造着价值

e)维护开放和尊重的社区环境

f)研究漏洞的方法、方式、工具及手段等是合法的

g)遵守本站“信息安全相关保护和声明”

对于不遵守上述规则的用户我们会采取封杀账号处理

6. 我是厂商应该注意什么

WooYun是一个完全开放和透明的信息提交平台,你可以从这里及时收集并处理广大的白帽子提供的跟你企业相关安全信息以避免对企业造成安全损失,但是同时,WooYun也是一个平等和尊重的平台,我们希望你在处理信息之前能够:

a)尊重所有提交的信息,正确评估漏洞的严重性和后果

b)尊重问题提交者,在必要的程序更新日志和安全公告时能够署名问题发现者和漏洞来源,譬如某某某@wooyun http://www.wooyun.org/bugs/wooyun-2010-01386

c)我们热切希望厂商能够参与到平台当中来,可以将修复方法和问题产生的原因尽量的对外保持公开,这样大家可以帮助评估修复的正确性和学习到如何避免问题的再次发生。

d)对问题进行负责的评估,认真的处理每一个安全问题,积极的站在自身的角度参与技术问题的讨论同样也是在为其他厂商和白帽子创造着价值

除上述规则外我们严格禁止厂商的如下行为:

a)消极处理安全问题包括不负责任的评估安全问题的严重性和后果,忽略后又悄悄修复等

b)不尊重乌云平台包括不平等的对待乌云提交和其他途径向其提交漏洞的

c)以其他途径威胁诬陷等方式阻止用户反馈安全问题的

对于进行沟通后依然不遵守乌云规则的厂商我们将取消其乌云账号资格,相关安全问题我们会通过其他第三方渠道进行处理和通报。