1月19日下午,国内360旗下的补天漏洞响应平台爆出了乌云某重要站点存在SQL注入漏洞,并表示泄露了上万白帽子的信息。目前,该漏洞已标示为高危。此消息一出可谓石破天惊,一时间引起了业内人士的广泛关注。
假设上万白帽子账号密码泄露,那所有白帽子提交的漏洞细节将不再是秘密,将会全部被泄露。这些信息关乎众多厂商的安全,一旦被恶意利用将可能造成不可估量的损失与影响。目前,具体细节我们暂时无法获知。
疑云密布 乌云与360互掐?
据悉,有业内人士表示是有人故意抹黑乌云。原因是有人在乌云上发布了《360安全浏览器远程命令执行漏洞(访问任意网站即可植入恶意软件)》和《wormhole第二弹来袭:360某应用可远程静默安装app》,对360影响较大。
在今天下午,补天漏洞响应平台出现了访问慢和持续不能访问的情况,同时乌云网页出现了访问较慢的情况。
有人怀疑是双方在相互DDoS。更有网友戏称,这是2000块引发的血案。
乌云平台也同样有此漏洞信息
在乌云漏洞平台官网,笔者发现乌云方面也确认同样发现了此漏洞,并使用官方审核账号提交了一条漏洞数据:
并给出了详细说明:
验证步骤
漏洞证明:
对此,乌云及时采取措施修补了漏洞。如此的反应速度,笔者给乌云的白帽子们点32赞!此外,针对该漏洞,乌云官方声明如下:
| 白帽子发现乌云Zone(一个面向白帽子的技术社区)存在一处SQL注射漏洞,漏洞影响的数据表不涉及任何漏洞信息与用户密码,仅为社区讨论内容互动数据。目前该漏洞已确认并进行了修复,在此对白帽表示万分感谢。同时我们自己也挑战了一次5分钟快速的漏洞响应修复流程,并会对漏洞可能造成的后续影响 进行密切关注。 但主站目前被DDoS了打不开,不过不必担心,恢复后就给大家公开细节看下情况。 |
乌云漏洞平台简介:
作为国内知名的漏洞披露平台,国内多起知名安全事件都是在乌云首发,然后广泛传播。乌云成立以来已经聚集了1万多位白帽子,发现和报告了近十几万个漏洞,并将白帽子提交的漏洞及时通知厂商进行修复,避免造成更大的影响。在推动国内安全产业方面,乌云做出了巨大的贡献。
在此,希望无论是乌云还是补天作为推动国内安全事业不断前行的力量,能够在未来发挥其重要的作用。