如何看待路人甲在風口浪尖時提交世紀佳緣網的漏洞？

http://wooyun.org/bugs/wooyun-2016-0224641

缺陷編號： WooYun-2016-224641

漏洞標題： 世紀佳緣某處邏輯缺陷導致命令執行(繞過網路邊界防火牆)

相關廠商： 世紀佳緣

漏洞作者： 路人甲

提交時間： 2016-06-30 09:45

公開時間： 2016-08-14 12:03

漏洞類型： 命令執行

危害等級： 高

漏洞狀態： 廠商已經確認

廠商回應：

危害等級：中

漏洞Rank：10

確認時間：2016-06-30 12:03

廠商回復：

感謝白帽子和烏雲平台。經過檢查，是弱口令引起的高許可權伺服器被入侵，所以這次評分只能給中。再次感謝提交漏洞。

---

剛才大家在討論某漏洞，我提醒一下兩個點：一是原文說沒有獲取數據，同時把資料庫名暴露出來，這個點是風險點，因為資料庫名是否敏感數據的一部分，解釋權在企業和執法部門，不在白帽子，容易出事切勿學習（最終作者修改了）；二是內容涉及誤導中傷和恐嚇，容易出事切勿學習（最終作者改名了）。

---

我只想說，老大腦子抽滿嘴謊言就算了。世紀佳緣你們的安全運維腦子也抽？

一個能深入內網的高許可權伺服器命令執行，危害只有中？理由居然是因為弱口令所以只有中危？

你上學的時候那個老師告訴你伺服器密碼可以隨便設置弱口令不是事的？！

哪個資深運維帶你的時候告訴你弱口令沒啥危害的？！

內控呢？風險管理呢？！特么高許可權伺服器怎麼給設置出的弱口令？！

---

謝邀

在之前的回答提到了

如何看待白帽子在烏雲網提交世紀佳緣網漏洞後被抓？ - 95zz 的回答

很多人通過這件事來批判烏雲，感覺有點可笑。

但是跟風的人太多，看清事實的人總是太少。我覺得這時候烏雲也急於證明自己。畢竟負面影響

這個時候不管哪一個人站出來說話都沒用 ，烏雲的官方人員更不行。在zone發了公告，擁護烏雲網的自然擁護。但如果這種事情不處理好，那麼『潛在用戶』可能會損失一波。也有一些並不白的白帽子會感到害怕，從而離開烏雲

這個時候：

方小頓：豬，你在哪兒，組織需要你

豬豬俠：不用說了，我已經懟進內網

方小頓：很好，提交吧，馬上給你審核，需不需要給你來個路人甲？

豬豬俠：隨意，並不虛。給那些批判的人看看烏雲網真正的『白帽子』和清者自清是無畏的

於是：

後來改成了路人甲，不明真相23333接著收到王音【豬豬俠】的回答提示

如何看待白帽子在烏雲網提交世紀佳緣網漏洞後被抓？ - 王音的回答

回答的時間證明猜測。

---

如果廠商不願意接受來自互聯網的冒然測試，可在修複本漏洞後（或下線伺服器），點擊忽略該漏洞，並在廠商回復處留下：「請不要測試本公司，本公司將採取法律手段約束你們的測試行為，後果自負。」，之後走國際黑名單慣例，不會再有人關注貴公司信息系統的安全風險。

---

這是我第一個見到的非匿名變匿名的漏洞

---

被抓的那位同胞讓我又看到了第二個王欣呀。

---

如果廠商不願意接受來自互聯網的冒然測試，可在修複本漏洞後（或下線伺服器），點擊忽略該漏洞，並在廠商回復處留下：「請不要測試本公司，本公司將採取法律手段約束你們的測試行為，後果自負。」，之後走國際黑名單慣例，不會再有人關注貴公司信息系統的安全風險。

---

推薦閱讀：