最新消息:

WooYun-乌云正式上线

安全 admin 2849浏览 0评论

#鬼仔:WooYun-乌云

官方网站:http://www.wooyun.org

WooYun是一个位于厂商和安全研究者之间的平台,你可以通过这个平台来接受大家报告漏洞也可以通过这个平台来报告漏洞,不同的是,所有的过程都将在WooYun上进行,你不用担心厂商像之前某些厂商所作的否认这个漏洞从而轻易否认你的努力,厂商也不用担心漏洞散落在各个Blog,论坛而导致无法及时处理导致损失,当然,这一切都是建立在尊重和荣耀这个前提。

相比漏洞的实际成因,我们更倾向于通过实际的危害来定义一个漏洞的危害和等级,所以WooYun会关注危害比较严重的譬如远程代码执行,权限提升,SQL注射之类的漏洞,一些客户端的漏洞会根据实际应用的场景和所造成的危害和影响来定义等级,譬如目前的实际环境中淘宝相对于其他厂商就比较关注 URL跳转和反射型xss漏洞。与传统的漏洞相比,我们关注服务器级别的如弱密码,不安全的服务器设置这种运维级别的问题,甚至如果有钓鱼欺诈之类对业务运营有影响的问题也可以通过平台向厂商反映。如果你能通过录像或者抓图实际证明漏洞的危害将是最好的漏洞证明方式,你可以在WooYun看到我们的漏洞分类和定义。

我们欢迎影响力大的,更重要的是注重安全的厂商在WooYun注册,同时也欢迎对漏洞研究有兴趣的白帽子来WooYun投递漏洞。为了保证WooYun的质量,目前对于厂商我们采取线下邀请的方式来注册,对于白帽子会采取投递漏洞获取邀请码的方式来注册。

我们昨天刚公布了第一批的漏洞细节,通过这些漏洞我们不只可以帮助我们分析常见的漏洞类型和原理实例,还可以更好的理解互联网安全的现状以及反思我们的安全工作本身,对于漏洞,我们有五天的确认期以给厂商时间确认漏洞的存在和一个月的保密期,厂商可以在这段较长的时间里修复自己的安全问题来避免损失。

目前WooYun完全由80sec和80sec的一些朋友利用周末时间完成,所以问题也是很多的,这里也感谢大家对各种Bug的包涵 -_-||

WooYun将按照预期持续的改进

:)

官方网站:http://www.wooyun.org
关于wooyun:http://www.wooyun.org/about.php

转载请注明:爱开源 » WooYun-乌云正式上线

您必须 登录 才能发表评论!