第一次向乌云提交漏洞,成为一名白帽子

最新推荐文章于 2024-06-16 15:49:51 发布
最新推荐文章于 2024-06-16 15:49:51 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 安全 文章标签: 漏洞 storm ui github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alanjin/article/details/38403957
版权
本文讲述了作者如何因一次意外的数据库泄露事件接触到乌云(WOOYUN.ORG)白帽子社区,并在之后主动提交自己发现的storm集群安全漏洞的经历。作者强调了将漏洞报告给乌云的重要性,不仅可以帮助公司避免潜在风险,还能提高个人安全意识和社会影响力。
摘要由CSDN通过智能技术生成

WOOYUN.ORG也叫做白帽子技术社区,和该社区第一次接触并不是这次我提交的漏洞,而是:

半年前我在github创建了一个小项目,当时除了公司小伙伴以外,还有外公司的朋友一起来搞的,某个小伙伴安全意识不强,扑了公司线上数据库和密码上去,该库被外公司朋友fork以后,一直联系不到,虽然很快就把泄漏的密码给修改了。但是时隔半年,还是被人扑到了乌云,这是我和乌云的第一次接触。


然后要说说我自己提交的漏洞,上次的事件让我认识了乌云网,其实大家上网那么多年经常会发现一些漏洞,如果每次都无视,可能会被一些不法分子发现并做坏事,对相应的公司造成损失,如果能及时将漏洞提交到乌云网,就可以由乌云网来联系出漏洞的公司,会引起足够的重视(如单独给BAT发信根本无法引起重视)。除了具有社会性的意义以外,还可以提升码农个人的安全意识和社会影响力。考虑到这些,就产生了把最近发现的一个漏洞扑到乌云的想法。


最近在搞storm,所以经常在谷歌搜索一些和storm相关的信息,偶然发现“孔明科技”(kmsocial.cn)的storm集群居然可以被外网访问,通过谷歌搜索引擎可以

最低0.47元/天 解锁文章
alanjin
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
白帽子乌云全部技术文章打包
04-18
白帽子乌云全部技术文章打包】集合了1156篇关于网络安全的文章,涵盖了从基础到高级的各种安全技术,包括但不限于漏洞利用、逆向工程、Web应用安全和恶意软件分析等多个方面。这个资料包是对"乌云"平台的一个珍贵...
乌云(WooYun)来啦
神zhi殇的博客
11-26 1178
乌云:http://wooyun.org/ 人员:方小顿(剑心),邬迪, 产品:乌云众测, 参考文章: https://www.zhihu.com/question/19993185/answer/369681024 https://www.25pp.com/news/news_93137.html 猪猪侠:https://www.zhihu.com/question/294105415/answ...
storm实时流式框架搭建管理(包含过程中常见bug的处理)
Above the cloud
07-31 419
Storm搭建 Storm是一个分布式的、容错的实时计算系统,可以方便地在一个计算机集群中编写与扩展复杂的实时计算,Storm用于实时处理,就好比 Hadoop 用于批处理。在Storm 的集群里面有两种节点:控制节点和工作节点。控制节点上面运行一个后台进程Nimbus,它的作用类似于Hadoop 里面的JobTracker。 1、先关闭selinux、防火墙,配好网络、yum源 2、安装开发工具 [root@node1 ~]# yum install java-1.8.0-openjdk* [root@n
漏洞报告怎么写/补天SRC新手入门:通用漏洞篇_零开始网络安全笔记
最新发布
程序员三九的博客
06-16 469
本文将带领新手了解补天SRC,包括其概念、目的、挖掘方法等,为新手在补天SRC中挖掘通用漏洞提供指导。
初学scrapy之爬取wooyun.org网站
weixin_34015336的博客
02-24 223
刚开始学习python,对于在网上爬取数据,还处于死搬硬套代码的阶段。不废话,直接开始我的第一个爬取之旅。1.创建项目1)创建项目命令scrapystartprojectwooyun该命令会在当前目录下创建一个wooyun文件夹2)定义items.pyScrapy提供了Item类,用来保存从页面爬取的数据。有点类似于Java中的反序列化,只不过反序列化是将字节流转...
Storm UI
浪不虚传
05-11 242
Storm UI 本文主要解释下storm ui上各项属性的含义。 1. mainpage     首页主要分为3块:     a. Cluster Summary     Nimbus uptime: nimbus的启动时间     Supervisors: storm集群中supervisor的数目     used slots: 使用了的slots数     ...
转载的ctf练习链接
计算机小白的博客
07-27 1409
正文如下: Author:4ido10n Home:http://www.secbox.cn/author/4ido10n 学习的地方很多,不能一一列举,一些优秀的网址和博客可能也没有提到,大家补充吧:P 就简单总结一些常用的吧,本人是十足的彩笔,还望大家多多指点,表哥们带我飞Orz http://www.sec-wiki.com/skill/ 安全技能(里面
SRC漏洞提交平台汇总
08-21
2. 漏洞盒子(VulBox):一个专注于漏洞众测和安全研究的平台,提供丰富的漏洞类型和等级分类,便于研究人员提交和跟踪漏洞。 3. i春秋SRC部落:i春秋教育机构旗下的SRC平台,结合安全培训和实战,为新手提供学习和...
白帽子乌云全部技术文章打包.zip
04-20
通过阅读这本书,你可以了解到黑客的基本技能,包括系统漏洞利用、网络嗅探、密码学等,同时也会明白作为一名白帽黑客的责任与道德规范。 其次,“网络黑白买书地址.txt”可能是一个链接或者购买指南,帮助读者获取...
乌云内部漏洞扫描工具.zip
03-07
乌云虽然已经关闭了,但是乌云之前开着的时候一直是信息安全行业学习的一个标杆网站,这个传闻中的乌云内部工具真的是及几年内的大小几点漏洞为一体,全自动渗透神器内置各种渗透所需功能,漏洞检测 CMS识别 URL采集...
乌云漏洞库/知识库离线下载-附件资源
03-05
乌云漏洞库/知识库离线下载-附件资源
kali基础渗透学习,永恒之蓝,木马实战
killsime的博客
04-08 1605
即 MetaSploit Framework,是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode,并持续保持更新。可以满足渗透测试的全过程metasploit让复杂的漏洞攻击流程变的非常简单,一个电脑小白经过几小时的学习,就能对操作系统等主流漏洞发起危害性攻击本质是利用别人开发好的工具,只能对一些老旧系统攻击如下,模拟使用msf利用永恒之蓝漏洞(因为可以导致蓝屏命名)在终端输入下面代码启动msfdb initmsfconsole可以db_status。
Storm UI访问无数据显示
danielchan2518的专栏
02-05 2300
集群安装完storm后在网页输入http://UI地址:8080时,页面只显示正面内容: Storm UI     Cluster Summary Nimbus Summary Topology Summary Supervisor Summary Nimbus Configuration 而显示不出数据,打开网页控制台发现一个500的错误提示,然后点开错误的地址可以看到正面这样...
crlf注入
Vdieoo的博客
02-12 325
0x00 背景 CRLFInjection很少遇见,这次被我逮住了。我看zone中(http://zone.wooyun.org/content/13323)还有一些同学对于这个漏洞不甚了解,甚至分不清它与CSRF,我详细说一下吧。 CRLF是”回车+换行”(\r\n)的简称。在HTTP协议中,HTTPHeader与HTTPBody是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能...
高德地图远程获取手机的敏感信息可远程命令执行(可以远程利用非webview)
YatesWANG的博客
08-21 3059
原地址:http://wooyun.org/bugs/wooyun-2015-0114241  小荷才露尖尖角@乌云 0x01 概述 高德地图是一款装机量极大的地图应用,在各大应用市场的下载量均达到千万级别。但其Android版本(6.5.3-7.2.6)存在一系列远程命令执行漏洞,利用这个漏洞攻击者可以远程获取手机的敏感信息,实现对高德地图的拒绝服务,获取高德地图私有目录下的敏
关于补天SRC新手入门详细介绍(通用漏洞篇)
晚风不及你
12-17 2万+
前言 时隔11个月补充了一下这篇文章,很久之前就写过了,一直没发出来,可能整个文章就和水文一样,我只是个Xiaobai,写的文章也是对Xiaobai能提供微小的帮助。 只是单纯的介绍一下补天的通用漏洞挖掘,不涉及任何与技术相关的东西,其目的是让新手快速了解补天,并在补天大展身手。如涉及到了任何侵权问题,请联系我删帖。 补天SRC介绍 补天漏洞响应平台旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心),让企业更安全,让白帽子获益。 ...
【360补天计划】记第一次漏洞提交
weixin_30819085的博客
08-09 3984
前言: 即将于8月底进入广州大学方班开始研究生学习,遂提前开始学习网安方面的知识,然后发现了360的补天计划,正好之前进行测试的时候被老师提醒随便测试别人的网站不合适,这样一来,就有众多网站可以随便测试! 网址:https://www.butian.net/ 还有其他相关的漏洞提交网站:比如 教育行业漏洞报告平台 一、网站白帽子注册: 在官网,直接注册即可 二、查找...
Storm UI详解
热门推荐
至道
12-02 2万+
Storm ui 展示字段说明 Storm ui 首页主要分为4块: Cluster Summary,Topology summary,Supervisor summary,Nimbus Configuration,如下图所示:  Cluster Summary Version: storm 版本号 Nimbus uptime: nimbus 运行时
乌云月爆201501期:安全漏洞与修复误区
"wooyun,乌云月爆201501期总第9期" 本文是关于计算机安全的专题报告,由知名漏洞公布网站wooyun编纂的“乌云月爆”,详细揭示了近期网络安全领域出现的新问题。该期报告共包含了多个安全漏洞案例,涉及不同领域的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值