总想搞个大新闻 - 安全,总是在出事后才被人关心

2015-10-22 08:37:06 +08:00
 M4ster

此次某易被曝出的 100 条数据被同行恶意炒作,吸引了大量不明真相的群众;
暂且不说数据真实性和危害,仅从公开的漏洞信息客观的看看国内各大厂商的安全做的如何。

4325 次点击
所在节点    程序员
31 条回复
M4ster
2015-10-22 08:37:16 +08:00
腾讯邮箱开放平台多处 SQL 注入漏洞 http://www.wooyun.org/bugs/wooyun-2010-0138129
腾讯邮箱开放平台某 SQL 注入 http://www.wooyun.org/bugs/wooyun-2010-0138114
腾讯邮箱某业务主站 SQL 注入 http://www.wooyun.org/bugs/wooyun-2010-0133092
腾讯邮箱发件人伪造漏洞进行诈骗的案例(伪装工商银行) http://www.wooyun.org/bugs/wooyun-2010-084467
腾讯邮箱附件预览页面 URL 跳转 http://www.wooyun.org/bugs/wooyun-2010-069277
腾讯邮箱正文存储行 XSS http://www.wooyun.org/bugs/wooyun-2010-060136
我是如何利用腾讯邮件群发狂刷数百万粉丝的 http://www.wooyun.org/bugs/wooyun-2010-050305
腾讯邮箱漂流瓶可泄露对方邮箱和 QQ (匿名也中招) http://www.wooyun.org/bugs/wooyun-2010-041444
腾讯邮箱 smtp 注册时间限制绕过漏洞 http://www.wooyun.org/bugs/wooyun-2010-025810
腾讯邮箱网页生成助手导致用户名和邮件内容泄漏 http://www.wooyun.org/bugs/wooyun-2010-025330
腾讯邮箱代发漏洞 http://www.wooyun.org/bugs/wooyun-2010-020099
腾讯邮箱一处存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-018984
腾讯邮箱的问题可以导致存储式 XSS http://www.wooyun.org/bugs/wooyun-2010-018939
腾讯邮箱两处存储跨站+一个缺陷 http://www.wooyun.org/bugs/wooyun-2010-015753
腾讯邮箱安全漏洞_No.1_之存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-015666
腾讯邮箱记事 存储型 xss http://www.wooyun.org/bugs/wooyun-2010-015022
腾讯邮箱持久型 xss 漏洞 http://www.wooyun.org/bugs/wooyun-2010-014119
腾讯邮箱转发邮件泄露用户隐私 http://www.wooyun.org/bugs/wooyun-2010-011392
对上一个腾讯邮箱储存型 xss 复现利用补充 http://www.wooyun.org/bugs/wooyun-2010-010189
腾讯邮箱某漏洞可以导致隐藏后门 http://www.wooyun.org/bugs/wooyun-2010-07907
腾讯邮箱又一个 flash 跨站 http://www.wooyun.org/bugs/wooyun-2010-06178
腾讯邮箱储存型 xss http://www.wooyun.org/bugs/wooyun-2010-06176
腾讯邮箱服务器允许源地址欺骗漏洞 http://www.wooyun.org/bugs/wooyun-2010-03257
腾讯邮箱 CSRF 漏洞 http://www.wooyun.org/bugs/wooyun-2010-02089
M4ster
2015-10-22 08:37:27 +08:00
新浪邮箱某处存储型 XSS 跨站 http://www.wooyun.org/bugs/wooyun-2010-0120187
新浪企业邮箱设计缺陷可泄露企业用户信息 http://www.wooyun.org/bugs/wooyun-2010-0113983
新浪邮箱存储型 xss 点击邮件即可触发 http://www.wooyun.org/bugs/wooyun-2010-0106918
新浪邮箱某处存在反射型例子 http://www.wooyun.org/bugs/wooyun-2010-092070
新浪邮箱存储型漏洞 http://www.wooyun.org/bugs/wooyun-2010-079369
新浪邮箱邮件正文存储型 XSS 漏洞 http://www.wooyun.org/bugs/wooyun-2010-074293
新浪邮箱 3G 版反射型 XSS http://www.wooyun.org/bugs/wooyun-2010-055243
新浪邮箱正文存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-054215
新浪邮箱存储型 XSS 第二弹 http://www.wooyun.org/bugs/wooyun-2010-050315
新浪邮箱存储型 XSS (字符集缺陷) http://www.wooyun.org/bugs/wooyun-2010-050258
新浪邮箱某处存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-039574
新浪邮箱存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-021270
新浪邮箱的一个持久型 XSS (内容无过滤) http://www.wooyun.org/bugs/wooyun-2010-021137
新浪邮箱邮件正文 XSS - 富文本过滤策略绕过 http://www.wooyun.org/bugs/wooyun-2010-019578
新浪邮箱存 csrf ,黑白名单随便设置 http://www.wooyun.org/bugs/wooyun-2010-016118
新浪某分站重要信息泄露 http://www.wooyun.org/bugs/wooyun-2010-015324
新浪邮箱存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-014392
新浪邮箱反射型 xss 漏洞 http://www.wooyun.org/bugs/wooyun-2010-013796
新浪邮箱预览存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-010532
新浪邮箱存储型跨站 http://www.wooyun.org/bugs/wooyun-2010-08753
新浪邮箱正文存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-08492
新浪邮箱正文存储型 XSS ,空字节不仅能上传,还能跨站 http://www.wooyun.org/bugs/wooyun-2010-07244
新浪邮箱邮件正文 XSS http://www.wooyun.org/bugs/wooyun-2010-06915
新浪邮箱持久型 xss !也是 word 文档引发的! http://www.wooyun.org/bugs/wooyun-2010-06270
新浪邮箱 xss 漏洞 http://www.wooyun.org/bugs/wooyun-2010-04997
新浪邮箱登陆框跨站漏洞 http://www.wooyun.org/bugs/wooyun-2010-0628
M4ster
2015-10-22 08:37:35 +08:00
搜狐邮箱持久类型 XSS http://www.wooyun.org/bugs/wooyun-2010-0120178
sohu 邮箱正文出存在 XSS 漏洞 http://www.wooyun.org/bugs/wooyun-2010-0115134
搜狐邮箱存储型 XSS 无需点击直接触发 http://www.wooyun.org/bugs/wooyun-2010-094135
搜狐邮箱邮件正文存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-060902
搜狐邮箱手机版存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-055178
搜狐邮箱存储型 XSS(危害放大技巧) http://www.wooyun.org/bugs/wooyun-2010-054403
搜狐邮箱正文存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-054216
搜狐邮箱正文存储型 XSS (回复或转发触发) http://www.wooyun.org/bugs/wooyun-2010-051969
搜狐邮箱存储型 XSS (需点击) http://www.wooyun.org/bugs/wooyun-2010-045277
搜狐邮箱某处存储性 XSS 两枚 http://www.wooyun.org/bugs/wooyun-2010-039879
搜狐邮箱一处平行权限漏洞 http://www.wooyun.org/bugs/wooyun-2010-036557
搜狐邮箱 Struts2 任意命令执行 http://www.wooyun.org/bugs/wooyun-2010-011853
搜狐邮箱业务命令执行漏洞 http://www.wooyun.org/bugs/wooyun-2010-029265
搜狐邮箱密码找回功能设计脆弱,可通过认知密码修改大部分邮箱口令 http://www.wooyun.org/bugs/wooyun-2010-08319
搜狐邮箱 3 处反射 xss http://www.wooyun.org/bugs/wooyun-2010-06268
M4ster
2015-10-22 08:37:53 +08:00
Tom 邮箱某处布尔型盲注 http://www.wooyun.org/bugs/wooyun-2010-0113470
TOM 邮箱某接口设计不当可撞库邮箱#2 (大量成功账号证明) http://www.wooyun.org/bugs/wooyun-2010-0112402
tom 某分站存在整站目录遍历,包含敏感信息 http://www.wooyun.org/bugs/wooyun-2010-0112136
tom 邮箱测试员密码泄露可间接导致内部员工邮件信息泄露 http://www.wooyun.org/bugs/wooyun-2010-0111108
TOM 邮箱可 xss http://www.wooyun.org/bugs/wooyun-2010-0101163
tom 存在 XSS 漏洞已经取得 cookie http://www.wooyun.org/bugs/wooyun-2010-095815
TOM 邮箱存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-087922
tom 邮箱存在跨站脚本漏洞 http://www.wooyun.org/bugs/wooyun-2010-069281
TOM 邮箱邮件正文的存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-068154
TOM 邮箱储存型 XSS 一枚(自动触发) http://www.wooyun.org/bugs/wooyun-2010-056833
Tom 邮箱设计不当导致部分用户密码明文密码在搜索引擎泄漏 http://www.wooyun.org/bugs/wooyun-2010-055114
TOM 邮箱过滤不严导致存储型 xss(自动触发) http://www.wooyun.org/bugs/wooyun-2010-054420
TOM 邮箱存储型 XSS 一枚 http://www.wooyun.org/bugs/wooyun-2010-053950
TOM 邮箱邮件内容存储型跨站 http://www.wooyun.org/bugs/wooyun-2010-052997
tom 邮箱某处 xss 可 URL 跳转 http://www.wooyun.org/bugs/wooyun-2010-052030
TOM 邮箱储存型 XSS 一枚(自动触发) http://www.wooyun.org/bugs/wooyun-2010-051981
尝试用一种新的姿势 xTom 邮箱( clickhijack ) http://www.wooyun.org/bugs/wooyun-2010-051922
tom 邮箱重要功能跨站可打 cookie http://www.wooyun.org/bugs/wooyun-2010-051864
hzzday
2015-10-22 08:40:53 +08:00
有没有 google outlook 的。。
M4ster
2015-10-22 08:43:32 +08:00
@hzzday Google 和 Outlook 漏洞也并不少见,只是举例了国内部分厂商。当然,我国和米国的差距还是有的。
Slienc7
2015-10-22 08:52:24 +08:00
5 年前的漏洞来强行洗地有意义吗?
你想说明什么?
XianZaiZhuCe
2015-10-22 08:55:13 +08:00
@xgowex 你凭什么说这是五年前的?点进去看了没有?
mrjoel
2015-10-22 08:58:36 +08:00
本来就没有绝对安全的系统,有漏洞被发出来然后修复是可以理解的(这证明了安全工作者和厂商在努力)。可怕的是假装没有漏洞,以公关投入代替安全投入。
x86
2015-10-22 09:01:58 +08:00
人家 TX 的出了问题承认呀
x86
2015-10-22 09:02:32 +08:00
擦。几年前的
Slienc7
2015-10-22 09:03:33 +08:00
0-3 年
@XianZaiZhuCe
int64ago
2015-10-22 09:04:21 +08:00
@XianZaiZhuCe 目测 TA 只看标题……

话说, TA 会不会回复:今年的又怎样?

看着也有点奇怪,这个事被炒作的嫌疑太大,太多小白被吓到了
miclushine
2015-10-22 09:06:32 +08:00
卧槽,还能这样强行洗地。。。地上水泥都给洗掉了好不。
NetCobra
2015-10-22 09:08:48 +08:00
lz 想证明什么呢?网易做的没问题?还是其实大家都一样烂?
alex321
2015-10-22 09:13:09 +08:00
别再洗地了,网易这个漏洞好几年前就已经被黑产利用上了。仔细看看这里反馈的网易众多 xss ,验证码形同虚设,二步验证被轻松绕过等等问题,再看看网易屡次三番地说这是撞库。好吧,既然撞库,那么包含注册 IP 、时间和密码保护资料的 54G 多的数据从何而来?如果真如网易所说的是撞库,你给出切实理由啊,我们不是谁主张谁举证么。
从根本上来说,这就是网易不作为。再看看网易的其他方面,最拿得出手的就是新闻评论了,虽然神人辈出,那里面绝大多数还是各种年轻小伙伴啊,就是给大家增加了点茶余饭后的谈资。
作为曾经数一数二的门户,和标榜各领域第一的在线电子邮件服务商,出问题了,只知道利用公关洗地,试问,看过国内其他大厂是如何做的么?即便从公关角度上,人家的手段就比你高好几个层次。网易,早已经沦为二流门户了。加以时日,也就可以洗洗睡了。
visonme
2015-10-22 09:13:28 +08:00
其实对于企业爆出的安全问题,作为普通的客户,生气是可以理解的,毕竟你的很多隐私可能直接就暴露在互联网之下了,但是对企业方我们也是要多点理解的。

安全是个相对的话题,在安全问题暴露时候企业方的态度和作为是很重要的,如果对方企业能积极的处理存在的问题,有一套相对完善成熟的应对安全问题的机制,那么我们应该是多点理解的,而不是在网络不断将问题扩大化 ,不断的 XXXXX
NetCobra
2015-10-22 09:25:49 +08:00
@visonme 换个思路:
“其实对于银行爆出的安全问题,作为普通的客户,生气是可以理解的,毕竟你的很多钱可能直接就被罪犯拿走了,但是对银行方我们也是要多点理解的。”
你能理解吗?
CRH
2015-10-22 09:28:58 +08:00
一个 800 年没用过的网易邮箱帐号,密码十多位,而且这个密码从来没在别处用过的
昨天登上去发现一堆异地登录信息

你跟我说那 100 条是炒作?
flydogs
2015-10-22 09:36:39 +08:00
国内那些公司就是比谁更烂

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/230048

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX