同样是漏洞检测为什么国内乌云这么惨_美国VPS

据美国科技媒体ZDNet报道，谷歌旗下安全团队Project Zero的两名成员日前公布了影响iOS系统的6个“无交互”安全漏洞中其中5个的详细信息和演示用攻击代码。

据悉，这6个“无交互”安全漏洞可通过iMessage客户端发动攻击。上周，即7月22日，苹果发布了iOS 12.4版，修复了这6个安全漏洞。但是，其中一个“无交互”漏洞的细节此次并未公布，是因为iOS 12.4补丁还没有完全解决问题。

据谷歌研究人员称，这6个安全漏洞中的4个可以导致在远程iOS设备上执行恶意代码，而无需用户交互。攻击者需要做的只是向受害者的手机发送一条“错误格式”的消息，一旦用户打开并查看接收到的项目，恶意代码就会被执行。而第5个和第6个漏洞允许攻击者从设备内存中泄漏数据，并从远程设备读取文件，同样无需用户干预。

　　根据漏洞交易平台Zerodium的价格表显示，类似于谷歌此次公布的这些漏洞，每条的价格可能超过100万美元。可以毫不夸张地说，谷歌此次公开的这些漏洞信息的价值远超500万美元，很可能达到1000万美元。

　　在下周于拉斯维加斯举行的“黑帽”（Black Hat）安全会议上，谷歌安全研究人员将举行一场关于远程和无交互iPhone漏洞的演示。

　　谷歌Project Zero安全团队成立于2014年7月，专为第三方软件寻找漏洞。他们并不会利用这些漏洞，只会对第三方软件开发商发出警告，以避免被恶意利用。

我记得国内有一家公司帮忙检测漏洞并且告诉厂商然后被吃免费饭的是谁来着

上海网友:国内公布了那些漏洞，那么那些政府网站被分分钟webshell，你让那些一个网站上千万招标的政府老脸往哪里放？
江西网友:乌云好像是在厂商没修复前，就公开了漏洞细节。。。而且，提前会找厂商要保护费，不交钱就直接公开漏洞，交了钱的话可以等厂商慢慢修复
河北网友:我那时候虽然菜，但也是经常关注乌云。
公布了携程漏洞，携程：关你mmp！麻痹劳资又要花钱！
公布了京东漏洞，京东：关你mmp！麻痹劳资又要花钱！
公布了discuz漏洞，discuz：关你mmp！麻痹劳资又要花钱！
公布了ecshop漏洞，ecshop：关你mmp！麻痹劳资又要花钱！

携程、京东、discuz、ecshop：举报乌云！打他，打他，打他
陕西网友:按照嘘嘘TV的定义，乌云这种属于搞屎棍。
大清的思路是你提出问题，就解决提问题的人。
山西网友:参考西游记。都是妖精，为什么下场不同。
陕西网友:吾云啊
上海网友:苹果应该反咬谷歌一口
云南网友:要是国内企业估计就这样了
陕西网友:毕竟国内企业，还没有后台
甘肃网友:好可怕的鸭
宁夏网友:上交大有个域名是src，这个好像也是，但是没有任何收录
宁夏网友:所以说大环境如此  没办法
江西网友:所以说大环境如此  没办法
上海网友:奇葩环境导致的
内蒙古网友:把举报人干掉了，难道漏洞就不存在了吗？该入侵还是得入侵，而且更加隐蔽了
陕西网友:其实乌云也是个好地方，在里面混了一段时间至少了解了一些简单的基本知识，也还为一些公司网站找到了bug，大部分厂商你提交小bug他们都直接无视的，稍微严重点的才去弄。不过有些小公司却也很积极的去处理，还自愿奖赏。不过咱也不要，在乌云提交bug得到的积分拿去兑换什么崂山白花蛇草水啦、红色尖叫啦格瓦斯啦东方树叶啦巴拉巴拉
天津网友:出发点应该是好的  估计是监管问题
比如一个用户提交了别人网站的BUG 导致别人利用这个BUG去对网站进行一些非法手段也不好说
台湾网友:但是，这就是现实啊，据说就是被几个大的互联网公司联名举报的
澳门网友:打个比喻，你使用某个程序被他通知有小洞，但你没能力处理这个洞。他虽然没问你要钱，但这个不太严重的洞会在N天后公开，你心里也犯怵不是吗，你很有可能会花钱请他们处理，这没什么。有问题的好像有部分人越界了，有威胁索财的意味，WB有白帽子说过这事。
山东网友:所以这方面还是国外的人看的长远也比较规范
还有  你的用户组好可怕
宁夏网友:乌云好像是在厂商没修复前，就公开了漏洞细节。。。而且，提前会找厂商要保护费，不交钱就直接公开漏洞，交了钱的话可以等厂商慢慢修复
澳门网友:瞎说什么大实话
香港网友:瞎说什么大实话
海南网友:看看新法规，非经授权扫描一下，或者乱公布漏洞，都要抓你坐牢
安全方面自废武功，以后安全方面怕要是被西方吊打
北京网友:来来来，给你们划重点：
一位白帽子黑客在7月18日报告了“中央**部移动客户端接口存在sql注入漏洞（快照）”，泄露了mysql用户表及其它表库，该漏洞已经反馈给“国家互联网应急中心”。

国产凌凌漆刺不刺激

上海网友:不会收保护费的，只会去通知厂商说明有这个漏洞，发布者可以选择漏洞在多少天以后公布给哪些权限的人查看。并不是不交钱就公开，是留一定的时间给厂商处理，好像也可以选择不公开或者仅向高级用户公开，毕竟里面大佬有的都是以学习交流为主，选择一定时间公开也是对厂商起一种"规范"作用（找不到词比喻），毕竟有漏洞不及时处理的话不一定只是厂商有损失，普通用户也会受影响(脱裤之类的)。哔哩吧啦瞎说了一堆反正这是我的个人见解不知道具体对不对。
辽宁网友:腾讯、阿里也有类似的安全团队吧，这和乌云还是存在一定区别的，虽然我也不爽乌云被搞。
吉林网友:瞧不起社会主义？
重庆网友:胳膊拧不过大腿
云南网友:国内这种一刀切懒政不是都习惯了嘛
河北网友:参考西游记。都是妖精，为什么下场不同。
香港网友:应该是属于非法扫描吧，简单的来说，没有让你扫描，你扫描了，不请自来
上海网友:应该是属于非法扫描吧，简单的来说，没有让你扫描，你扫描了，不请自来
浙江网友:按照嘘嘘TV的定义，乌云这种属于搞屎棍。
大清的思路是你提出问题，就解决提问题的人。
湖北网友:市场就是一个蛋糕，看你能吃多少，大家都开心就好
西藏网友:人家后台硬，安卓会怕你一个烂苹果？
湖北网友:想当年我大快播还不是被狗坑了
贵州网友:伟大的后清帝国不存在漏洞，乌云纯属寻衅滋事
重庆网友:乌云什么时候绕过商家公布漏洞了？
宁夏网友:
其实我就说一个意思：乌云有个公开期间，先说，我发现你漏洞了，你就堵不堵漏洞吧，给你20天时间主动联系我！商家刚开始都是积极联系，后来商家也火大了，尼玛币，天天来我系统找我漏洞，你特么跟我有仇是吧。这才联名举报的。