WooYun.org

这个有点意思

话说，小心和上次那位一样

我也觉得很危险

希望这次京东厚道一点，不要扣高帽子，不然白帽子都等死。未经过授权的安全测试，都存在风险。怕怕怕

@zeracker 介个,其实厂商也没有那么可怕.主要是在于沟通

主要是，相比每次跨省的所需成本！还不如送礼物！

有危险

哥们，注意安全呀，京东的系统有漏洞也少动呀，小心给你跨省了，咱挖洞不容易，可别搭上身家性命呀

这个可以看看

洞主没有去要求5毛钱吧 京东擅长设置套子啊

感觉到有杀气。。。。

京东要是在那么做..估计就有公愤了.

上次抓到一个从京东下订单到中国移动手机支付成功，中间不需要输入任何密码的bug，结果10086反馈给我的消息是京东的BUG。现在看你们评论，幸亏我是向中国移动反馈的哈

此洞要火~

搬个板凳围观。。。。。。

@123luckydog 鄙视 补上来吧

准备好出国的飞机票了吗？

不早就被渗透了么？不是说还有内部论坛什么的么？

感觉杀气更重了...

小心京东挖个坑等着你掉进去...

@123luckydog 2个漏洞 Rank 2 好霸气

@xsser 请问如何删除自己发布的漏洞？？我就怕京东商城忽略了，然后公开，导致被乱搞

@solihat 貌似在乌云是不删除漏洞的....

真替楼主担心，什么漏洞不去找，你非去找京东，真的是。没有看新闻报道吗？遇到京东的乌云漏洞我一般跳过不看。

这次可别进去了……那样干，白帽子就没法混下去了……

@ubuntu “ Rank:55 漏洞数:2 ”怎么搞的？不是最高20吗？我out了？

@凤凰 不知道呢

@solihat 没事，这个不怕，按流程走，他们要是再jjyy，乌云也没有开的意义了，我用所有的资源跟他玩到底！！

@xsser 哈哈。发飙了。 支持一个，不怕跨省，不怕和谐。飘过。

@xsser 霸气外泄啊，哈哈哈哈，其实没必要担心，到时候全部白帽黑帽怒了，都吃不消，哈哈

干掉京东！！！！！！！服务器准备中......

@疯狂 恩！我周末要提交的一个洞，正好是一个机房！要不先留着？

@shine 牛X了。。ddos吗？

@pfdz 先看流程结果。楼主真出问题了，我提供资源！attack不限于某一方面，应该是立体的！

@softbug @zeracker @一刀终情 @顺子 别吓唬人家了 以后大家都不分享了，这样的例子是乌云的底线了，联通也只是个公关而已，京东的270w也是被套出来的，只要按照流程走没事的，只是自己千万不要做违法获利的事情 ：）

反正自己多个心眼，证据保存好，搞渗透过了线就很麻烦了。

@shine 顶

@xsser 支持

顶@xsser 内网最好不碰，遇到一个点，能拿下，内网始终都是相对脆弱的，在公司内网，都不好意思开扫描器……

哈哈,一早就到这么火辣的消息,那个我心飞翔现在好像还在看守所没出来呢......

@我真的不帅 公道自在人心吧，如果厂商还是这个态度，就只有走工信部等监管部门了

@我真的不帅 悲剧的哥们

@xsser 支持xsser

@一刀终情 内网没有碰，我只是发现了漏洞，然后发现有两个内网IP，应该是可以渗透内网的，我没深入去做，点到为止。

@xsser 早就反馈10086，修复了，我用ipad上京东购物，结果显示付款成功才反应过来还没输入密码。吓死我了。

@solihat 支持你！

@solihat 支持！

@一刀终情 +1

@xsser 除非厂商授权wooyun部分核心白帽子合法渗透的权限

@xsser 你作为网站的管理者应该正面引导白帽子正规化渗透测试，而不是在这里YY。刚看了一下，京东在乌云的漏洞也不少，为什么就偏偏抓那个人？很多人并没有冷静的分析，而是一味的被一些文章牵着鼻子走。搜索了一会，这里也有一个分析的帖子：bbs.egou.com/thread-1639126-1-1.html 看后我觉得整件事就有可疑，这个人与京东貌似有很深的过节，所以才一直这么执着，所以我暂认为这是他们之间的私事，而这个人很明显带着目的性在这里发表漏洞，只能说这里走进了一位不同类的“白帽子”。我觉得乌云平台管理者应该在网站里规范化一些规定，我们应该做哪些，不应该做哪些，其实所谓渗透测试我想大家都清楚这里面的事，早点制定规章制度也是为了白帽子不卷入风波而受牵连。还有一点我对@xsser说，不要拿工信部来给自己做后台，他们也不希望是这么被人这么说出口的。最后我要等京东出来解释后再开始骂，现在开骂只会被人当枪使。

冷静思考很重要！！！

@Dit 楼上我很赞同你理智看待问题，首先我说明我不是安全圈内的人（乌云里面的人我基本没当面见过），你的有些言辞也过于片面及过激了，你是否看清楚xsser评论的本意（我想他是在对白帽子负责，言辞可能是诚恳了点），我想是你自己理解错了。也不知道你是哪边的人。最后，我想说的是，一个所谓电商巨头，连这点小事都摆不平，闹得这么大。这才是我看重的！

@Dit 你误会我的意思了，我的意思是对于无法沟通的厂商问题只能通过第三方去处理了，不是后台的意思；这里对京东的要求很简单就是沟通和回应，我一直不清楚270w如何来的，直觉觉得这个数字有问题，但是从没有看到过正面回应；谢谢你的建议，我们在制订规则当中：）

@Dit @shine 其实这种事情本来就是很复杂的，我问过京东内部人员，他们都不清楚这件事，我们是追求的一种精神，我们发现漏洞并报告给厂商，如果按流程来，我们并没有错，如果厂商真的还对我们这样那样，我们也没什么好说，一个真的好的厂商，我想做事也是理智的，如果真的躺着也中枪。。。。哎，大家都是有眼的人，如果真像这样的话，就没有白帽子的意义了，不是吗。。连白帽子的自身安全都受到影响，那就真的没白帽子的必要了！！

@顺子 这个估计不可能

@Jian(64bit) 初来乍到，不懂事

大家静观其变，看厂家怎么说~再加一句，小心类5毛~

低调路过......

@123luckydog 我没别的意思 就是感觉全是2

是否应该有一个流程，下面是我虚构的一些想法，虽然不是安全圈里的人，看到大家如此激烈的讨论，所以也抒发一下：1.用一种方式，通过乌云或者第三方机构的审核，成为进入白帽子的门槛。2.xsser与厂商沟通，或者让厂商可以在后台主动选择有能力的白帽子为其厂商做安全检查和渗透。3.其他未选中参与的白帽子，自己做自己的事情，别没事到处去找漏洞。4.白帽子也可以毛序自荐的向厂商推荐自己（白帽子有个人的主页和原创文章栏目）。一切由厂商定夺。5.未经授权，入侵他人网站和服务器的，算是违法了吧，所以，乌云需要一种机制。引导白帽子正规化。大家不能像无头苍蝇一样到处找漏洞，更不能以此为炫耀。6.....感觉改善的地方还有很多。 xsser你觉得呢，比如邀请厂商加入。这样，乌云才可以做大做强，白帽子甚至可以成为一种厂商的兼职安全测试人员。不仅仅可以得到礼物，也有工资哦？ 哈哈 。。

@softbug 你这个观点很好`但完全颠覆了乌云的初衷,未经授权入侵网站和服务器是违法的.但乌云的初衷是发现漏洞,而不是对漏洞进行进一步的渗透.如果按照你说的这个模式,完全可以做一个安全威客网,而不是一个漏洞发布平台,或者说是白帽子的聚集地.我们要做的仅仅是发现漏洞,难道说我看到别人口袋上破了个洞,我就一定要摸进去看看里面有什么么?我们要做的只是提醒他你口袋破了个洞.

@only_guest 这个度不好拿捏，而且也不是白帽子说了算的。

@only_guest 同意，点到为止。不用太好奇，对法律，有点敬畏心；对厂商有点慈悲心。厂商也可以稍微大方一点，遇到高危的漏洞，谢意真诚一点~

@一刀终情 顶，这才是应该有的：平常心

京东怎么还不来。。。

@solihat 你要经常出来冒个泡 证明你还在

盼望京东啊...

看来这个漏洞京东也要忽略了，悲摧

果断被忽略了。。鸡冻网。

这真热闹,我路过沾沾光

真的被忽略了……

呵呵 低调就好，不让真容易出事

低调啊,上次咸阳那个...

京东居然搞忽略。。。。

这个东西肯定不承认啊。承认不完了

老外在XWork的OGNL上纠结了快两年了吧？结果问题越整越多！加上最近那个条件苛刻的远程执行命令，一共有几个了啊？幸好哥不用开源web框架！