当前位置:WooYun(白帽子技术社区) >> 乌云电视台 >> 乌云通用性漏洞流程改进及漏洞奖励进展汇报

乌云通用性漏洞流程改进及漏洞奖励进展汇报

xsser (十根阳具有长短!!) | 2013-05-27 13:06

各位领导:

鉴于通用型漏洞流程改进和漏洞奖励方案(详情请见相关帖子和http://www.wooyun.org/prize)实施了一段时间了,现在偶来给大家汇报下近期工作的一些情况,首先我们的态度是非常反对漏洞购买的,的确如某些同学说的如果不提交给官方直接去作恶的话绝对是十倍百倍的汇报,我们同样反对漏洞封闭的和商业化的处理,但是我们完全理解如何对提交者的尊重和漏洞价值的体现,我们许诺其他企业能够提供的,乌云将尽一切努力和资源来确保也能提供

目前已经有三家安全企业加入到通用流程方案里来并且给提交通用漏洞者进行奖励,目前已经有十多个符合目前标准的重要安全漏洞被奖励,按照我们的要求,已经有白帽子通过phpwind获得了单个漏洞1万元的奖励,同时Ecshop和Espcms也都送出了很多的奖励,获得的奖励都可以在乌云的控制面板里看到,并且可以使用支付宝提现。

同时也再次申明,吹过的牛逼一定要坚持下去,大家关于浏览器,重要客户端的安全漏洞一样可以提交至乌云,同时对于列表中的应用我们也会定期更新,大家有觉得重要的程序或者应用也可以告诉乌云官方,我们会添加至列表中

截至5.27日的奖励列表:

@赏金猎人 10000¥
@Code_Sec 10000¥
@blue 4500¥
@viekst 2000¥
@rookie 500¥
@齐迹 500¥

同时,我们将合作伙伴纳入安全流程依然严格遵守负责任的漏洞披露流程,且继续透明和公开的原则

phpcms.png

即使在厂商不重视用户安全忽略漏洞的情况下,我们一样希望能够保护好广大企业的安全

PS:更新一个小插曲,某些公司通过某些部门做了某些事情想让我们停止开展下去但是我们还是坚挺了!

:)

分享到:
28 个回复
  1. 1#
    回复此人 感谢
    子墨 | 2013-05-27 13:07

    羡慕

  2. 2#
    回复此人 感谢
    Sunshine (0123456789) | 2013-05-27 13:07

    1W啊啊

  3. 3#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2013-05-27 13:08

    更新一个小插曲,某些公司通过某些部门做了某些事情想让我们停止开展下去但是我们还是坚挺了!

  4. 4#
    回复此人 感谢
    子墨 | 2013-05-27 13:10

    @xsser 乌云做大了,总会让某些人羡慕嫉妒恨的

  5. 5#
    回复此人 感谢
    Rookie | 2013-05-27 13:14

    @xsser  通用性漏洞列表里面的 dedecms 可以删除了..反正官方也不来认领

  6. 6#
    回复此人 感谢
    疯狗 (阅尽天下漏洞,心中自然无码。) | 2013-05-27 13:15

    @子墨 @Sunshine @xsser @子墨 嗯,乌云做好做大了对咱白帽们是好事,因为乌云的诞生就是站在白帽角度的,其他的都是后期为了发展等因素而“站”在白帽角度~

  7. 7#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2013-05-27 13:18

    @Rookie 修改了流程了,官方不负责,我们不能不负责啊,现在改成了即使忽略也会先让其他厂商修复再公开的

  8. 8#
    回复此人 感谢
    Rona (111) | 2013-05-27 13:23

    @xsser WooYun: phpwind补丁发布导致新存储xss1 这个呢。

  9. 9#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2013-05-27 13:26

    @Rona 这个时间还没到呢,需要等向核心公开的时候才会评估问题

  10. 10#
    回复此人 感谢
    Rookie | 2013-05-27 13:27

    @xsser 是不是厂商忽略的洞 就没有奖励

  11. 11#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2013-05-27 13:28

    @Rookie 不会的,这些个厂商很多不太理解安全,所以这个评估最后是由乌云核心白帽子完成的

  12. 12# 感谢(1)
    回复此人 感谢
    梧桐雨 (‮ofni.uygnotuw‮) | 2013-05-27 13:44

    支持乌云!小顿姐姐和狗子妹妹要加油喔 (*^__^*)

  13. 13#
    回复此人 感谢
    nauscript (Those who cultivated with their tears will finally cheer with harvest.) | 2013-05-27 13:52

    @xsser 支持乌云

  14. 14#
    回复此人 感谢
    小胖子 (z7y首席代言人,园长的表哥...) | 2013-05-27 14:09

    恭喜发财!

  15. 15#
    回复此人 感谢
    廷廷 (想法最重要) | 2013-05-27 14:49

    @xsser 赏金猎人打错了?  坚挺了,,,怎么这么邪恶这个词?

  16. 16#
    回复此人 感谢
    马燕羊蝎子 | 2013-05-27 14:54

    你妹的领导

  17. 17#
    回复此人 感谢
    wefgod (求大牛指点) | 2013-05-27 15:02

    @梧桐雨 MM?!

  18. 18#
    回复此人 感谢
    Adra1n | 2013-05-27 15:44

    @xsser WooYun: PHPWind flash xss 0day? 这个呢,算吗?

  19. 19#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2013-05-27 15:49

    @Adra1n 应该算低.....

  20. 20#
    回复此人 感谢
    px1624 (aaaaaaaaa) | 2013-05-27 16:34

    某些公司通过某些部门做了某些事情想让我们停止开展下去但是我们还是坚挺了!

    这个令人联想无限额。该不会是安仔吧,有点明显诶。。。@疯狗

  21. 21#
    回复此人 感谢
    luwikes (土豆你个西红柿,番茄你个马铃薯~~~) | 2013-05-27 16:59

    同时也再次申明,吹过的牛逼一定要坚持下去 ————>顶起

  22. 22#
    回复此人 感谢
    齐迹 (sec.zhubajie.com 欢迎来撸) | 2013-05-27 17:55

    500 还不够提现 看来还得努把力啊!

  23. 23#
    回复此人 感谢
    齐迹 (sec.zhubajie.com 欢迎来撸) | 2013-05-27 17:59

    @xsser [link href="WooYun: ecshop后台弱权限sql注入一枚"]WooYun-2013-24000[/link] 这个算不?

  24. 24#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2013-05-27 18:00

    @齐迹 拿到后台的权限再攻击后台?

  25. 25#
    回复此人 感谢
    齐迹 (sec.zhubajie.com 欢迎来撸) | 2013-05-27 18:25

    @xsser 和上次获奖的一样,前提是有一个后台帐号(无权限也可)。

  26. 26#
    回复此人 感谢
    杀戮 (有事请 at 大号园长) | 2013-05-27 18:37

    @齐迹   个人觉得很多后台都是存在大量注入点的 官方很少鸟这些

  27. 27#
    回复此人 感谢
    淡漠天空 (出售NSA,CIA,NASA,DHS等内网权限) | 2013-05-27 18:42

    S:更新一个小插曲,某些公司通过某些部门做了某些事情想让我们停止开展下去但是我们还是坚挺了!

  28. 28#
    回复此人 感谢
    pangshenjie (whoami) | 2013-05-28 14:35

    @xsser 硬!

添加新回复

登录 后才能参与评论.

WooYun(白帽子技术社区)

网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地

登录

其它内容


Copyright © 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1