技术:揭秘乌云网：中国最大的黑客培训基地？

本篇文章4513字，读完约11分钟

10月10日，如家等酒店开房的消息泄露了。 10月29日，有人指出交往漏洞波及了支付宝( Alipay )。 11月5日，Sogou浏览器明确了重大的安全漏洞。 11月20日，被指出腾讯7000万qq群的顾客数据泄露了。 11月26日，360年发生了任何客户更改密码的漏洞。 连相关部门网站的脆弱性都公布了…。 .

一系列泄露事件不仅使所有人都处于危险之中，而且使宣布这一系列泄露事件的乌云网闻名。 人们对关联公司不负责任，对黑云网也很好奇:这是什么样的平台，背后有什么样的秘密江湖？

“白帽子”凝聚的黑客基地

“老k”说“是重塑黑客理想的白帽子”。

11月15日，一家咖啡店。

从和“老k”约定的时间过去了30分钟，记者用手机qq问“到了吗？ ’我给他发了信息。

堵车快到了，还有几分钟。 “老k”的回答。

又过了半小时，“老k”也没有出现。 10分钟后，记者从“k先生”那里听到“对不起，我刚才在咖啡店外面徘徊了很久。 我想了想，还是用qq交流比较好吧”。

“在这个社团里，真正的身份是秘密。 除非我完全信任你，否则我不会告诉你一切。 ”。 熟悉“老k”所在社团的本报网络工程师“董师”对记者说。

对一般客人来说，“老k”所在的社团是非常秘密的江湖。 “老k”在互联网企业工作，表面上和普通人没什么区别。 但是，晚上，他成为了某名人聚集的黑客团队的重要成员。 网名是他的身份代表，一般只用qq和外部交流。

年，“老k”首次将某个网站变更为主页，插入了图像和音乐。 “不管好处如何，那都很兴奋”。 k先生说，与他们销售数据以前就传达给黑客的不同，“我们的理想是重塑黑客的精神”。 “老k”称自己为黑客的“白帽子”。 他现在的乐趣是寻找、测试和捕获大型企业的安全漏洞，提交给第三方漏洞平台的乌云网。

“我有自己的正当工作，没有依靠它盈利”“老k”在乌云网上的等级是普通的白帽子，经过多年的发展到现在，他向这个平台提出了20多个漏洞，大部分在制造商的确认下公开，电信，以前 “找到bug就是寻找所谓的后门，也就是“开门钥匙”即顾客名和密码。 ”。

在一般公众心中，神秘和危险是黑客的代名词。 但是在黑客界，所有黑客都分为白帽子、黑帽子和灰帽子三种类型。 像k先生一样，“重塑黑客的理想，恶意利用，公开，没有漏洞”的是白帽子。 灰色帽子擅长攻击技术，但不会轻易被破坏。 黑帽子靠偷新闻赚钱为生。

统计现在中国有多少活跃的黑客并不容易，但发表一系列泄露事件的乌云网是收集网络白帽子的第一力量。 据记者不完全统计，现在至少有4000多顶白帽子活跃在乌云网上。 “这些白帽子身份多而杂，有各大企业的互联网安全技术人员，黑帽子雪白，有it员工，还有白领、律师和厨师。 ”“老k”说。 “乌云网聚集了全国最多的黑客，可以说乌云网引爆了白帽子一词。 ”。

“乌云网是黑客聚集的地方”年末，面对某媒体的采访，假名乌云网组织者“wooyun”也发掘了这些黑客中的白色帽子在网站本身的安全漏洞，在“黑色帽子”使用之前提交给平台。

"乌云之前，都是黑色的. "

只有稻子

但“总有一天

只是"全部"。

但是，还没有，还没有，还没有，还没有，还没有，还没有。也就是说，11分钟只有1分钟，安静是吧，是吧，还是吧，是吧，是吧。

等等。 9

这个筷子

还不是我组织组织，而是安全兴趣。 还没有，还没有。关于这里很多，在验证上处理问题后公开”。 我害怕

乌云网是在年末——当年11月，乌云网根据白帽子提供的各种资料，连续宣布京东商城、支付宝( Alipay )、网易等知名网络公司有高危漏洞，12月29日支付宝( Alipay )

之后，黑云网公布了酒店等开房新闻的泄露、支付宝( Alipay )的脆弱性、Sogou浏览器的顾客数据的泄露、腾讯的7000万qq群的顾客数据的泄露等一系列引人注目的泄露事件。

三方对战的江湖

对乌云网、制造商、白帽子来说，三者之间也是不为人知的暗斗江湖。

根据《乌云网脆弱性审查机构改善公告》，普通脆弱性披露流程为5天的制造商确认期，10天内向核心白帽子公开其脆弱性的详细内容，20天内向普通白帽子公开，30天内向实习白帽子公开，45天内公开其详细内容 “如果制造商过了周期没有反应，或者在期间内否定脆弱性的真实性，黑云网通常会公开其详细情况。 ”。 “老k”说。

根据乌云网的官方数据，现在有500多家制造商与乌云网合作，公开脆弱性。 对乌云网、制造商、白帽子来说，三者之间也是不为人知的暗斗江湖。

“制造商应该鼓励网上的白帽子吗？ ’15

但是每11分钟1分钟:。

通过55555555，通过5，理由是5，理由是5，理由是通过5，理由是5，理由是3，3，3，3服装的杨，其账户，5，理由是5，就这样。 。 。 就像那样。 。 。 。 。 。 。 。 5

也

孟德尔表示，除非制造商确认或驳回，否则不公开漏洞的具体细节，黑客根据这些消息进行违法行为并不容易。 但是，一位网友对记者说:“如果黑客对此感兴趣，如果知道公司名称和大致脆弱性的消息来源，入侵这家公司并不难。” 据相关人士透露，从他的注意来看，乌云网上很多等待确认和刚提出的漏洞，也与各政府机构的安全问题有关，虽然没有具体细节，但依然震惊了外部顾客。

“制造商为了将影响降到最低，必须否定、驳回其脆弱性，或与乌云网合作。 乌云网试图把自己做大。”。 因为“老k”在白色帽子也有自己的需求，为了名字或者利益，这是提交给制造商拒绝的情况下，通常会提交给黑云网。

对此，一家不透露姓名的互联网公司高层对记者说，关于乌云网，他们也很无力。 另一方面，公司有自己的安全数据中心，随时测试公司的网站。 另一方面，乌云网有时发表令人吃惊的消息，炫耀业界权威也不能忽视——但实际上，引起任何话题的泄露事件，其脆弱性在几个月前就被修复了。

关于是否炒作的说法，孟德不否认。 “这其实是国内网络舆论的怪圈，也许因为曝光量高、什么受欢迎，而被认为是自我宣传，乌云现在也经历了这个怪圈。 ”。

乌云共同创始人，据原百度安全设计师“剑心”所知，乌云网“得到了腾讯这样的封闭公司的赞同”。 这位相关人士对记者说，腾讯是唯一不给乌云网上白帽子礼物和奖励的制造商，而乌云网上问题最多的公司也是腾讯。 根据记者不完全的统计，乌云网络不公开的腾讯的各种安全问题达数百个。

礼物和奖励是制造商给出错误的白帽子报酬。 这种模式在美国很常见。 去年，微软为处理windows操作系统中内存的漏洞设立了20万美元的奖项。 谷歌、mozilla、facebook等为发现本公司产品安全漏洞的研究者提供至少500美元的奖金。

但是，在国内，由于制造商对提出脆弱性者的鄙视和偏见，对第三者的脆弱性平台给予丰富奖励的情况比较少( 360，腾讯、新浪等公司对自己的脆弱性收集平台有奖励规定)，t恤。 黑云网的“白帽子”和在纽约证券交易所美国上市公司就职的公司设计师，在黑云网上发表了小米网的安全性漏洞，因此小米企业送给他小米手机表示感谢。 孟德认为，事实上，对于在“白帽子”的消费上花了很多精力的孔来说，这种激励毫无用处。

但是制造商也有自己的不满。 “一是担心脆弱性新闻会给自己带来负面影响，二是各公司的脆弱性不少，打开奖励先河后，千万黑客盯着自己的脆弱性”上述网络高层对记者说。

一次提交是一次入侵

白帽子的反省:黑也白，白也黑。 乌云上的白帽子，真的是白帽子吗？

“客观来说，黑云网处理了黑客和制造商之间的信任问题等很多问题，降低了信息表现的价值成本，降低了最终用户可能面临的安全风险。 ”。 一位网络安全注意者告诉记者，重要的问题之一是成千上万的白帽子是如何发现各个领域、大公司网站的漏洞的。 即使漏洞实际存在，获得漏洞的过程是否合法？

11月18日，某科技企业的人“yuange1975”的微博成为话题:这些人很大胆，这样的事件不能用自己的生命成就别人。 我不赞成制造商为此抓住这些人，但如果真有抓住人分的事件。

很多业界相关人士关注的是，11月17日，一顶名为“niliu”的白帽子在乌云网上提出了“某银行某分店管理系统执行，服务器沦陷”的脆弱性，虽然没有详细公布，但受到业界的关注和

“谁授权你测试这个网站的漏洞？ 你是用什么方法得到这个洞的？ 根据这个洞抓你是有根据的。 ”。 网民“网民”这样评论，安静的黑站，不需要吆喝。 发现bug的过程往往也是违法的过程。

“黑也白，白也黑。 乌云白帽子，真的是白帽子吗？ 许多白帽子的测试渗透过程完全是一系列的入侵、破坏和新闻盗窃行为。 ”。 腾讯微博上，被认证为“乌云平台白帽子成员”的于小葵发微博进行了反省。

“自己提出的乌云网洞和用黑帽子捕捉洞的方法一样，是暗中攻击的，不能事先通知相关部门和制造商”“老k”承认这一点，这其实也是违法行为。 “所谓白帽子，本质上是黑客，只是黑客不好，谁也不想承认”

“老k”不想详细阐明自己使用那些手段渗透到公司网络中，获得了公司的脆弱性，但他表示许多入侵构想来自黑云网——事实上，黑云网是第三者的脆弱性提出平台还是脆弱 这些攻略的一部分只看到白色帽子，其他部分向公众开放。 比如去年11月22日，乌云网发表了“我就这样解决了全省万象网吧(网吧渗透测试的实例，超详细)”。 万象网吧原本是一家盛大的子公司，后来被杭州顺网科技盛大销售，这种脆弱性测试时间是今年2月，其中攻击步骤、方法、操作手段非常详细，这种脆弱性的获得本身就是非法入侵行为。

出现一顶有点高调的白帽子说话。 去年10月19日，一顶名为“only_guest”的白帽子在黑云网上发送了“微信任意顾客密码制作漏洞”的技术帖，利用微信账号的安全设定漏洞，成功解读了多个名人的微信账号和手机号码，并发行了

这顶白帽子显示在成功解读柳岩、马化腾的微信账户之前，编辑了两个微信账户的密码。 一个是明星柳岩的经纪人，一个是有腾讯的高级管理层，从这两个微信账户获得柳岩和马化腾的微信号或qq号码，再用这个腾讯的高级管理层号码给马化腾发消息。

因此，获取漏洞本身就是黑客的入侵过程。 “乌云网上的白帽子为了提出脆弱性，渗透到公司内部网络的过程很常见。 挖洞需要装实际壳，进内网转一圈吗？ 你看到别人家的门没关系，然后你给睡着的女主人拍了几张裸照，然后发给她的邮箱，说你家没关系。 你看着这张照片解释，然后你又评论，女主人的屁股还是白色的。 你在为难人吗？ 》xmd5解读网站长汪利辉说:“看白帽子，洞平台的那件事”，白帽子测试的目标网站是谁给你的许可？ 真的出问题了，没人负责。 如果乌云不能正确诱惑这些白帽子，我想有一天白帽子会哭。

二

没什么，没什么，没什么，没什么，没什么，“这个可以做这个声明吗”和提出乌云没有关系。 “。 ())。 。 。 。 。 。 。 。 。 。 也

才1

没用。

也是“好”

还没呢还没呢还没呢1111呢，还是什么，是吗？ 什么？ 。 什么？ 什么？ 什么，什么，什么，。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 多