乌云的背后是阳光——方小顿：安全平台乌云的创始人.pdf

乌云的背后是阳光 乌云平台实践 几个问题 • 我是谁 ？ • 乌云是什么？ • 为什么要有乌云？ • 乌云改变了什么？ • 已经完成了吗 ？ 我是谁？ • 网名：疯狗 （不要笑，严肃！） • 业余渗透师，web安全爱好者，菜鸟运营 • 9年互联网安全研究经历 • 乌云网联合创始人 何为乌云 • WooYun是一个位于厂商和安全研究者之间的安 全问题反馈平台 • 为互联网安全研究者提供一个公益、学习、交流 和研究的平台 何为乌云 • 漏洞第一时间通知厂商 • 厂商确认与修复周期 • 对外不主动披露任何信息 • 通用漏洞风险控制与解决渠道（闭环） • 安全问题开放学习共享 何为乌云 白帽报告漏 洞 更多白帽学 用户监督并 习和加入这 且对企业提 个过程 出安全需求 企业加强安 企业修复并 全建设和提 披露安全问 升白帽价值 题 何为乌云 企业 白帽子 乌云 技术人员 用户 何为乌云 • This is wooyun 为什么要有乌云 • 对安全研究者进行良性引导 • 安全漏洞的封闭为厂商造成了盲目，甚至恐惧 • 如今与传统互联网的差异为用户带来的影响 传统与改变 • 传统 传统与改变 • 现在 传统与改变 • 360任意密码修改漏洞 （wooyun-2012- 08333 ） -影响用户过千万！ -修复迅速 15:36提交 - 15:52确认 - 半小时内修复完毕 传统与改变 • 腾讯WEBQQ聊天功能XSS （wooyun-2012- 08487 ） - WebQQ用户接收信息即可中招！ - 云端直接对内容输出进行处理，问题解决了.. 传统与改变 • 中国万网任意账号劫持+验证码漏洞 （wooyun- 2013-016896 ） -影响域名过百万！ -修复迅速（新年初夜的疯狂） • 原来我们的安全根本不掌握在自己手里 传统与改变 • 传统的安全问题： - 数据分散在用户端 - 安全攻击不易于察觉 - 安全不可控 • 如今的安全问题： - 数据都集中在云端 - 安全攻击易于发现 - 安全可控 传统与改变 • 化零为整