非常感谢提交漏洞和对世纪佳缘的支持,我们已第一时间将漏洞修复完毕,并抓捕了你:有人在乌云报告了世纪佳缘网的漏洞,结果世纪佳缘报警把那人抓了

有人向乌云提交某网站的 SQL 注入漏洞,测试中抓了 4000 条用户信息,然后厂商就找公安把人抓了。可能很多人不知道:按《刑法》285 条第 2 款及相关司法解释,入侵获取金融证券系统身份认证信息 10 条以上、一般系统 500 条以上,就可以判刑。以后开安全会议,可以考虑找个熟悉相关法律的律师普普法。

垃圾厂商世纪佳缘,先是确认漏洞,然后报案抓人了

sql注入可以获取用户注册信息
白帽发现这个漏洞,肯定得尝试着获取一些用户信息。
然后佳缘网就以感谢白帽的理由,通过乌云联系上白帽本人,掌握白帽发现漏洞的详细过程后,报警,抓捕了白帽。。。。。

合理啊。。其实wooyun本来爆漏洞就有风险,何况十有八九先脱完裤再爆的。
你非法获取公民信息,显然是违法犯罪行为。

看来世纪佳缘对自己的技术很有信心
绝对是最后一个漏洞了!

这么搞,为啥
不怕白帽们报复性攻击死他?

以后谁还敢提交世纪佳缘的漏洞

厂家以后要是再有数据被脱,纯属活该

抓人前还先送礼物查清个人信息,呵呵

呵呵哒,黑产大牛在哪里,快收了某婚介网站的数据

一边感谢,一边报警抓人,什么叫下作?

以后挖到世纪佳缘的漏洞,不要提交厂商了。直接丢暗网吧 。

这网站以后估计不会好了,等着被报复吧

关键还是跑了4000条数据,构成一定影响了。幸好我一般都是点到为止。

某程序猿单身多年未找到女朋友,朋友介绍去世纪佳缘看一看,过了几天朋友问他有没有找到合适的,程序猿说,我找到了它的一个bug…

@大师兄 嗯 现在大家都在讨论这个事情 不知道结果会如何 后续大家还是要多小心一些

—-

1

向Wooyun提交厂商漏洞被查水表,怪谁?

故事要从一位父亲写给第四届网络安全大会的信说起,这位父亲在信中提到自己的儿子向Wooyun提交了世纪佳缘的一个SQL注入漏洞,因为测试注入跑了4000条用户的信息,导致被儿子抓,这位父亲表示不能理解为啥自己的儿子会被查水表。

1

2

3

根据信件中白帽子的信息,找到具体的漏洞应该是下图中的:

4

作为一个Wooyun的白帽子,感觉这位白帽子同学挺悲催的。其实Wooyun上有很多白帽子小伙伴都比较年轻单纯,不知道社会的险恶,作为白帽子中的大龄屌丝,很有必要分享几点需要谨记的内容给小鲜肉白帽子:

1,所有未经授权的渗透测试都是违法的;

2,厂商有权力对攻击渗透入侵自家信息系统的行为进行追究;

3,Wooyun主站跟主站厂商之间没有合同约束,是Wooyun厂商并不能代表厂商就允许白帽子未授权对自家系统进行渗透入侵测试;

4,查不查白帽子的水表取决于厂商的态度及白帽子的节操,厂商的态度是重点;

5,给Wooyun上的厂商提交漏洞,最好点到为止,会不会被查水表同样取决于厂商的态度;

6,做一个有节操的白帽子,态度很重要,真正做到只是为了给厂商反馈漏洞;

7,厂商很痛恨白帽子恶意刷同一点漏洞,还有白帽子夸大漏洞标题的行为。

以上几点都是已知的内容以及个人的看法,再看前文中提到白帽子被查水表的事情,就不难理解白帽子为啥被抓了。

1,未授权渗透测试世纪佳缘的信息系统;

2,渗透测试没有点到为止,获取了4000名用户的信息;

3,夸大漏洞标题,对世纪佳缘造成一定的影响;

4,世纪佳缘曾经发生过被脱裤的事件。

对于有些厂商,白帽子童鞋做了以上的事情,厂商不一定会查白帽子的水表,之所以不查,其实只能说是白帽子运气太好,但是白帽子不能因为运气太好就忘记了前文中的7点实事。大部分厂商还是很希望跟白帽子之间建立良好的关系,毕竟很多白帽子是真心帮助厂商解决安全问题的。

有人认为白帽子被抓,跟Wooyun是有关系的,作为Wooyun白帽子中的一员,我是很难认同这个观点的。Wooyun是一个第三方的漏洞平台,并没有强制白帽子提交厂商的漏洞,白帽子可以自由选择向Wooyun或直接向厂商提交漏洞,Wooyun会通知厂商来认领漏洞,厂商也可以选择是否来免费认领漏洞。

就比如雷锋捡到了别人的信用卡,不知道怎么找失主,然后把信用卡交给了信任的机构,机构知道了失主的联系方式,通知失主来认领,失主发现自己的信用卡被”雷锋”给盗刷了,然后报案查雷锋的水表,这事还能怪机构吗?

个人主观浅见,或许其它人会有各种不同的意见,欢迎转发发表自己的个人观点,同样欢迎各种法律专业的童鞋来分析这个案例,客观判定一下到底怪谁?

另外也欢迎回复反馈以下几点:

1,甲方厂商喜欢什么样子的白帽子?

2,心目中最有节操的白帽子有哪些?

3,没有白帽子群体是不是对厂商更加有好处?

镜像链接:谷歌镜像 | 亚马逊镜像

分类: 科技 标签:
  1. 匿名
    2016年6月24日21:59 | #1

    世途不平,注意防止”交浅言深“

  2. 悲剧不可避免
    2016年6月25日00:50 | #2

    意思就是说,这世道做好人是没好报的。

  3. 匿名
    2016年6月25日05:57 | #3

    報案者根本就沒有犯罪的主觀意圖,天朝的公安大多零法律知識。

  4. 匿名
    2016年6月25日06:15 | #4

    这和腊肉的引蛇出洞
    有异曲同工之妙

  5. fuck ccp
    2016年6月25日08:23 | #5

    悲剧不可避免 :
    意思就是说,这世道做好人是没好报的。

    是的,正是这个意思,尤其是在中国。

  6. 匿名
    2016年6月25日09:32 | #6

    弱智才在共产极权环境下当黑客还要亮名字。

  7. 争公平不憎富贵
    2016年6月25日01:53 | #7

    你国这副德性的多约是……

  8. 匿名
    2016年6月25日10:08 | #8

    一边感谢,一边报警抓人,什么叫下作?

  9. 匿名
    2016年6月25日12:59 | #9

    这是世纪佳缘最后一个漏洞

  10. 耳光侠
    2016年6月25日14:12 | #10

    抓起来是正常的,是国际惯例,上个月还是上上个月,美国某市的政府网站被某人发现漏洞并曝光,美国政府立刻就把他抓起来的,这是犯罪,未经许可随便对别人的网站设备进行渗透测试是犯罪行为,连这个都不懂,就是彻底的法盲。

  11. 匿名
    2016年6月25日18:51 | #11

    @耳光猪
    抓起来是正常的,是国际惯例,上个月还是上上个月,美国某市的政府网站被某人发现漏洞并曝光,美国政府立刻就把他抓起来的,这是犯罪,未经许可随便对别人的网站设备进行渗透测试是犯罪行为,连这个都不懂,就是彻底的法盲。

    这篇文章谈的是法律吗?中国在共匪治下真的有法律吗?

  1. 本文目前尚无任何 trackbacks 和 pingbacks.