WooYun.org

是哪个省的？

@Jacks ip地址显示 北京电信骨干网

老兄的QQ号码是多少？能否站内私信给我？

大半夜的看到，差点吓到。明天赶快处理。建议白帽子加强自律，不再传播，以免构成实质危害。

@cncert国家互联网应急中心 放心啦。。没有传播

@cncert国家互联网应急中心 为什么最近提交的问题　确认好慢哦

@自由与精神 一般是验证并协调后才确认。一些问题一眼或简单的用工具就可以很快验证完，但确认也等到了处置时。主要量有点多了，几个活跃的白帽子搞批量化提交，验证压力有点。。

@cncert国家互联网应急中心 最近搞国家电网的人很多，电信等基础设施的人也多了　。。。　问：白帽子检测与非法入侵　在法律上的区分在哪里？

@自由与精神 这个问题大家一直很关注，不管wooyun还是白帽子以及国内的其他漏洞库组织CNVD，都要遵守自律的基本原则，目前没有特定的约束，大体就是不窃取私密信息、不破坏系统完整性、不影响业务可用性，同时确保除提交的漏洞平台外，不扩散漏洞事件信息（一些由通用软件导致的漏洞事件，如struts\thinkph的测试过程也在内）虽然一些部门在对待漏洞事件上还较为守旧，且对白帽子社区存在一些成见，但若真牵涉及所谓调查，遵循以上自律守则的白帽子应该不会有太大问题（对应刑法第285\286条修正条款）。向CNVD以及wooyun平台的提交证明以及公开的处置流程暂时可作为自律成果的体现形式，不承诺免责，但可作为辅证。

@cncert国家互联网应急中心 接着问：在渗透过程中必然会获得一些私密信息;或者多少会对系统有一定的损害，如修改数据库来提权;有时为了证明危害性，白帽子也不得不深入到一定程度（取得一些重要的信息）这些白帽子在避免被调查上应该怎样自我保护？国家系统是否可以对有贡献白帽子进行一定奖励。例如：对有能力的（有正规背景（如：某安全公司在职））白帽子，直接将其发现的安全事故交于他来处理，并支付报酬？白帽子应该鼓励.

@自由与精神 对一些细节结合案例进行解释。1.私密性（confidentiality）,例如：数据库表中的账号和口令，可以注入得到，但导出不存储于本地；根据党政部门“涉密不上网、上网不涉密”的原则，一般网站不会有涉密文件，对于个人实名信息、业务数据信息、未公开事项信息以及服务器配置文件等可定义为私密性保护的范畴。

@自由与精神 2.完整性（Integrity），例如：进入后台管理系统，不对系统配置和用户权限进行更改，不对业务数据执行删除操作。目前流行的“此地爷来过留名”的情况，建议以测试名义标识；对于webshell的方式，不扩散口令信息和后门URL。

@自由与精神 3、可用性(Availability)，例如：对于远程控制情形或远程拒绝服务漏洞，不执行系统重启、业务开关等操作，在一些监控系统中不破坏监控节点或报警阈值（如：报警参数），不执行可能导致服务异常的操作(如：变更web应用服务器配置参数)。

@自由与精神 目前没有一种完全免责的说法，有时这也取决于一些部门对待漏洞和白帽子的态度。如上所述，wooyun以及CNVD的流程公开或证书形式可以辅证，但要用体制确认漏洞平台和白帽子，目前还存在鸿沟。对于是否由白帽子来处理，这个存在职责划分，属于安全评测、服务的范围。白帽子以个人名义怎么收费？一不小心就成了某网上商城的典型。

额，我也挖了账号进去了。。。

这种系统不知为何非要发布在公网呢？又何必要？