WooYun

WooYun

WooYun.org | 自由平等的漏洞报告平台

1. WooYun是什么

WooYun是一个位于厂商和安全研究者之间的平台，其名字来源于目前互联网上的“云”，在这个不做“云”不好意思和人家打招呼的时代，网络安全相关的，无论是技术还是思路都会有点黑色的感觉，所以自然出现了乌云。 你可以叫他乌云，或者巫云，或者我晕，但是我们坚信它是汇聚互联网安全研究者力量的，将带来暴风雨清洗一切的乌云。 

2. 信息安全相关保护和声明

我们对注册的用户做严格的校验，厂商必须得到足够的证明才能获得相关的安全信息，包括在线证明和后台的审核（可能的话包括线下的沟通），而白帽子注册必须通过Email的验证，为了保证信息的高可靠性和价值，对于提交虚假漏洞信息的用户在证实后，我们将大幅度扣除用户的Rank甚至直接删除用户。 对于在乌云平台发布的漏洞，所有权都归原作者所有，乌云尽量保证信息的可靠性，但是不绝对保证所有信息来源的可信，其中漏洞证明方法可能存在攻击性，但是一切都是为了说明问题而存在，乌云对此不负担任何责任。 

3. 乌云的使命

尊重：作为一个互联网漏洞报告平台，乌云最重要的使命就是尊重。我们观察到目前众多的安全研究者与厂商之间存在着天生的不平等，不尊重。对于漏洞发现者来说，由于缺乏厂商的联系方式，即使发现了漏洞也很难将信息传递给厂商，而厂商也根本无法顾及散落在互联网各地的漏洞信息，最终导致一些漏洞被人遗忘，未得到修复而造成损失。另外一方面，一些厂商对漏洞研究者的报告也很不尊重，甚至是一种轻视的态度，在出现问题之后对问题不是迅速修复以确保互联网用户的安全而是通过其他手段尝试掩盖漏洞甚至是否认漏洞的存在，在这种不尊重的前提下，漏洞研究者就可能直接将漏洞公开，直接损害了厂商的利益。破坏和建设一样，同样作为一种技术的存在，我们尝试唤回大家对技术的尊重，乌云将跟踪漏洞的报告情况，在这个平台里，漏洞研究者和厂商是平等的，乌云为平等而努力。 

进步：我们关注技术本身，相信Know it then hack it，只有对原理了然于心，才能做到真正的自由，只有突破更多的限制，才可能获得真正意义上的技术进步，我们尝试与加入WooYun的厂商及研究人员一起研究问题的最终根源，做出正确的评价并给出修复措施，最终一起进步。 

意义：我们坚信一切存在的东西都是有意义的，我们也相信乌云能够给研究人员和厂商带来价值，这种价值将是乌云存在的意义，研究人员可以通过乌云发布自己的技术成果，展示自己的实力，厂商可以通过乌云来发现自己存在的和可能存在的问题，我们甚至鼓励厂商对漏洞研究者作出鼓励或者直接招聘人才。 

 

网站简介

 

乌云网是国内一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台，用户可以在线提交发现的网站安全漏洞，企业用户也可通过该平台获知自己网站的漏报。乌云网上线几年来，一直是it软件开发者技术交流的论坛，所探讨的技术也仅是各自领域内所接触的各类技术bug，并通过网上互动交流促进软件开发技术的发展。乌云网成立的初衷也是致力于成为一个服务于互联网IT人士技术开发的互动平台，在业界有着一定的影响力。

 

网站发展历程

 

2010年5月 乌云网上线，据其官方网站对自身的定位，目标成为“自由平等的”的漏洞报告平台。为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。同时，该网站在网络安全“圈里”被视为一家黑客圈的安全问题反馈分享平台，用户自由上传漏洞信息，等待厂商核实并修复。业内安全人士称，该平台对刺激各公司改善安全设施、改善中国互联网的安全现状有帮助，对改善中国互联网的安全现状都有帮助。乌云网的发展也一直处于低调发展中。
2011年11月 乌云网已经有超过500个白帽子安全研究人员、120多个厂商及一些政府互联网安全部门参与到平台，接近4000个安全问题得到反馈和处理，沉淀了大量的安全实例和资料，对帮助企业避免和解决各种安全问题起到了不小的影响。
2011年11月，乌云网根据平台会员提供的各种材料，连续披露京东商城、支付宝、网易等国内著名互联网企业在用户信息安全防护中国存在高危漏洞，引起较大的社会反响，然而，处于各种考虑，其所报告的漏洞都遭到相关方面官方否认。
2011年12月21日，国内知名技术社区CSDN的600余万用户资料被泄露。此后又陆续有消息称，包括多玩800万用户信息、7K7K小游戏的2000万用户、网站的1000万用户资料，以及人人网、U9网、百合网、开心网、天涯、世纪佳缘等网站数据库也通过乌云网漏洞发布平台遭遇不同程度的外泄。而在此之前，乌云（wooyun）引起了人们众多关注，作为一个厂商和安全研究者之间的安全问题反馈平台，乌云提供给互联网公司很多漏洞及风险报告，帮助他们防患于未然，然而，并未得到各方的积极回应和足够重视。
2011年12月22日，乌云网在此发布公告称，因新网管理后台权限疏漏，导致新网数十万域名管理密码或已泄漏。经其数据测试，部分域名管理密码有效。用户泄密事件愈演愈烈。 

近期事件

 

2011年12月31日，乌云鉴于在此次泄密事件中的自身出现的各种问题及压力，宣布暂时关闭网站，其官方网站发布公告称：“最近频繁披露的安全事件及带来的影响表明，一方面我们企业的整体安全建设还不够完善，但是同样反馈出我们乌云平台和社区无论是沟通渠道还是反馈及响应机制都存在一些严重的问题。”猜测称，乌云网暂时关闭可能与其漏洞披露机制尚未完善，且存在法律风险有关。还有业界人士认为：有关乌云网宣布暂时关站的原因，金山安全专家李铁军昨日向记者表示，更有可能是来自政府以及企业的压力，“社会影响太大，已经远远超出漏洞公布的技术层面了。” 

• 参考资料：

  http://wooyun.org/

• http://wooyun.org/