[风惩一周年]Wind Punish安全团队-风惩安全(团队渗

  • A+
所属分类:WooYun-Zone

2015年6月5日,Wind Punish安全团队(www.windpunish.net)扬帆起航,在一个充满回忆的机房中,当Wind与Punish的英文单词相遇时,时光的卷轴被悄然改写,一年以来,WP一支坚持,宁缺毋滥,踏踏实实做技术,目前,WP正在风惩安全,i云维,安全时报三个主要项目中,不断的证明自己

风惩安全(团队渗透测试)是WP核心项目之一,目前,我们已经为超星集团旗下读秀网、国科简旗下世界名人网、8090游戏平台,酷派进行了四期团队形式渗透测试

今天,是2016年6月5日,Wind Punish安全团队一周年的日子,WP一周年专题页面http://www.windpunish.net/firstyear/,在生日这天,我们在与厂商进行确认后,共同坚定决心,做出了我们认为的,能够为这个网络安全世界做出一些好的贡献的一份决定,将WP第一期,第三期团队渗透测试报告公开,同时第二期及第四期的渗透测试报告正在进一步完善,将会在近期和大家见面!

为什么我们希望(并努力在做)在帮助厂商进行测试后,将渗透测试报告公开?

目前,很多厂商在接受渗透测试后,并不希望将漏洞公开,但,任何事物都在不断发展中,试想一天,当所有接受安全检测的厂商,都会十分愿意的将漏洞报告公开,那一天,网络安全这个领域,会不会真的达到一片朗朗乾坤呢?

这也是我们的初心

第一期及第三期渗透测试报告地址:

Wind Punsih-读秀网站安全检测报告

Wind Punish-8090游戏平台安全检测报告

WP是真的在做网络安全,但在线上发展的阶段,距离更加的专业化,我们还有很多的不足,但,我们会一直努力;同时,将渗透测试报告公开,我们的准则是:保障厂商在已经修复漏洞的情况下(这一点,WP在帮助厂商复测时,会进行确认),我们希望能通过将渗透测试报告公开,在保证敏感数据不泄露的前提下,尽力将更好的,更专业的渗透测试报告展示给大家,更加希望的是,能够让小伙伴们在阅读渗透测试报告后,获得收获和技术上的提高

真诚的期待和欢迎,乌云的小伙伴们针对WP的渗透测试报告提出相关的建议,建议内容包括但不限于:

漏洞报告的内容(即使一处标点符号,字体大小等等),漏洞报告的加密方式,漏洞报告的详细度,

漏洞报告可以更加专业的细节等等

我们会根据大家的建议,选取其中采纳条数、建议效果综合评分最大的一位小伙伴的建议,提供20wb的奖励,其他小伙伴们的建议,一旦被采纳,我们都会点击感谢(1wb)!

2015年,是WP发展的第一个年头,“夫列子御风而行,泠然善也”,WP是一支有梦想,并愿意为之努力奋斗,稳健前行的团队,一个人想盖多高的楼,那么他就需要多么深厚的地基,2015-2016年度,WP为自己做出了许多踏实的努力,但我们也知道,路漫漫其修远兮,我们必将上下而求索,2016,我们来了!2016,请期待,更好的,Wind Punish!

期待能和乌云的小伙伴们一起,助力我们心中的网络安全桃源!

[风惩一周年]Wind Punish安全团队-风惩安全(团队渗

  1. 1#

    一个小渣渣 | 2016-06-05 20:21

    沙发

  2. 2#

    牛 小 帅 (心若没有栖息的地方走到哪里都是在流浪!) | 2016-06-05 20:28

    赞一个  群主人很好

  3. 3#

    crown丶prince (我用双手成就你的梦想) | 2016-06-05 20:41

    欢迎大家针对WP的渗透测试报告提出相关的建议,建议内容包括但不限于:
    漏洞报告的内容(即使一处标点符号,字体大小等等),漏洞报告的加密方式,漏洞报告的详细度,
    漏洞报告可以更加专业的细节等等

    我们会根据大家的建议,选取其中采纳条数、建议效果综合评分最大的一位小伙伴的建议,提供20wb的奖励,其他小伙伴们的建议,一旦被采纳,我们都会点击感谢(1wb)!

  4. 4#
    感谢(1)

    牛 小 帅 (心若没有栖息的地方走到哪里都是在流浪!) | 2016-06-05 20:52

    @crown丶prince 建议漏洞名和数量都用颜色分明

  5. 5#
    感谢(1)

    Mr .LZH (‮……肉肉) | 2016-06-05 21:48

    报告可读性很差。可以借鉴这个模板。
    http://wenku.baidu.com/view/f3d991e64028915f814dc202.html?from=search

  6. 6#

    纷纭 (:-)) | 2016-06-05 22:59

    楼主可以参考下国外的 https://www.offensive-security.com/reports/sample-penetration-testing-report.pdf 这个测试报告~~

  7. 7#

    重瞳 (echo `whoami`) | 2016-06-06 10:26

    反射xss算中危?也是6

  8. 8#

    一个小渣渣 | 2016-06-06 10:44

    说实话  反射XSS连低危都不算

  9. 9#

    crown丶prince (我用双手成就你的梦想) | 2016-06-06 14:24

    @Mr .LZH 非常感谢提供资源!我们会在综合大家的建议后,努力将Wind Punish的团队渗透测试报告增加入这些优秀的元素,打造出更加专业的渗透测试报告!

  10. 10#

    crown丶prince (我用双手成就你的梦想) | 2016-06-06 14:24

    @纷纭 非常感谢提供资源!我们会在综合大家的建议后,努力将Wind Punish的团队渗透测试报告增加入这些优秀的元素,打造出更加专业的渗透测试报告!

  11. 11#

    crown丶prince (我用双手成就你的梦想) | 2016-06-06 14:39

    @重瞳 感谢支持!这一方面也是我们在考虑的,渗透测试报告,是应该站在白帽子的角度确认漏洞危害等级,还是应该站在厂商的角度,明确漏洞可能带来的安全隐患?
    XSS漏洞目前越来越受到关注,相比漏洞平台,为厂商提供渗透测试的项目,可能需要针对性和全局性更强一些,对于注重安全的厂商来说,XSS漏洞的危害不容小视,所以,我们将可能存在安全隐患的漏洞,比如:无重要信息的目录遍历,存在爆破风险(需绕过验证码且利用价值较小),高危端口开放(但无法深入利用),Self-XSS,路径泄露等视作了低危漏洞,将XSS漏洞定级为中危
    这一份尝试需要勇气,我们期待和更多厂商、更多白帽子伙伴们一起,通过我们的努力,也许,能为这个安全世界作出一份贡献 [风惩一周年]Wind Punish安全团队-风惩安全(团队渗

  12. 12#

    crown丶prince (我用双手成就你的梦想) | 2016-06-06 14:40

    @一个小渣渣 感谢支持!这一方面也是我们在考虑的,渗透测试报告,是应该站在白帽子的角度确认漏洞危害等级,还是应该站在厂商的角度,明确漏洞可能带来的安全隐患?
    XSS漏洞目前越来越受到关注,相比漏洞平台,为厂商提供渗透测试的项目,可能需要针对性和全局性更强一些,对于注重安全的厂商来说,XSS漏洞的危害不容小视,所以,我们将可能存在安全隐患的漏洞,比如:无重要信息的目录遍历,存在爆破风险(需绕过验证码且利用价值较小),高危端口开放(但无法深入利用),Self-XSS,路径泄露等视作了低危漏洞,将XSS漏洞定级为中危
    这一份尝试需要勇气,我们期待和更多厂商、更多白帽子伙伴们一起,通过我们的努力,也许,能为这个安全世界作出一份贡献 [风惩一周年]Wind Punish安全团队-风惩安全(团队渗

  13. 13#

    crown丶prince (我用双手成就你的梦想) | 2016-06-06 14:54

    @牛 小 帅 恩恩,感谢兄弟支持!确实如果能将漏洞名和数量用颜色进行突出和区分,会更加不错

  14. 14#

    Discover (抄家伙) | 2016-06-07 09:46

    漏洞分布情况的图里应该加上各漏洞具体所占百分比。

  15. 15#
    感谢(1)

    小博博 | 2016-06-07 10:19

    兄弟 很感谢分享精神 针对报告有一点点想说的,不针对团队,仅仅是针对报告:
      1.当在报告上看到N多xss的时候,我的第一反应是使用了wvs 极光之类的扫描器进行了扫描,不知道你们所做的渗透有没有具体的渗透部分,在报告上并没有发现真正意义上的渗透。
      2.报告文档格式、字体 整体美观上没有“绿盟”、“启明”等几家安全厂商的渗透报告模板美观,希望以后可以建立出一套模板出来。
      3.看到这份报告,我的第一感觉这是“野路子”出来的,希望可以改进吧(语言表达,字体格式等)。。

  16. 16#

    光棍节 | 2016-06-07 18:42

    报告中要是有更加具体的解决方案会更好,因为目前这种模式无法保证修复过程中不产生新的问题。

  17. 17#

    伟大娃娃 (٩[·̮̃·̃]۶٩[·̮̃·̃]۶) | 2016-06-07 23:19

    我在pkav这边主要负责的就是政企的渗透测试。提出几点个人看法啊:
    1,在未经企业许可的情况下,进行渗透测试,不合适;
    2,在未经企业许可的情况下,将其漏洞公布(a,未确认漏洞修复;b,轻微打码),不合适;
    3,报告前面还像是创宇的一个自动生成报告模板,后面就突然变成了日站随手记了;
    4,太有激情了—-我并不是说狂热的热爱之类有什么不好,只是你上面动不动要为安全世界做贡献这种腔调,以及12楼中的表述,我认为你们还在非常初级的入门阶段,即所谓“书读的太少而想的太多”。不论是企业测试抑或其他安全工作,保持一个冷静的旁观者姿态是非常重要的。你目前这种心态很容易在受挫之后放弃。
    5,楼主网站风格和行文都十分中二。这个很难让人信任你们。

    可能有人要说2、3点乌云就是这么干的,但是这里先不说一直在安全圈存在争议。首先有当年开荒时代的不得已而为之,其次乌云一直在致力改善这些问题,再次乌云平台有官方背书,建议你们还想再开展这种活动的话,以系列漏洞的形式发到乌云主站上(为你们自身安全着想),好歹有个相对负责任的漏洞披露流程。

    不说了,对面麦克雷切我们后排了。

  18. 18#

    Vigoss_Z (http://i-security.cc) | 2016-06-08 10:33

    改改这么非主流的团队名称

  19. 19#

    crown丶prince (我用双手成就你的梦想) | 2016-06-08 19:30

    @小博博 感谢兄弟建议!
    1.确实,目前我们在渗透测试项目中,由于我们希望推动的是 兼具众测和安全公司项目 的渗透测试形式,所以对小伙伴们可能使用过多扫描器的情况没有很好地约束,以及制定相关规则,这一点,在WP新的一期发展阶段中,我们会努力改进
    2.这一次的报告,由于是对外的公开版,所以我们在具体的细节上,也在犹豫哪里应该公开,哪里不该公开,可能将具体的发现过程没有很好地呈现,我们会努力完善
    已经点击感谢,再次感谢兄弟中肯的建议 [风惩一周年]Wind Punish安全团队-风惩安全(团队渗

  20. 20#

    crown丶prince (我用双手成就你的梦想) | 2016-06-08 19:37

    @伟大娃娃 感谢前辈的建议
    1.目前WP所进行的众测,都是在与厂商签署授权书,并和厂商沟通后,才进行公开的,我们也在努力让团队小伙伴们更加放心的参与到测试中来
    2.真的很感谢前辈一针见血的评价,我一直希望获得的评价有两种,一种是让我嘴角上扬的,一种是让让我面红耳赤的,对于目前的我、目前的WP来说,虽然WP已经发展了一年,但也仅仅只有一年,我们经历的历练还是太少,前辈的这段话我收藏下来了,对我们的未来有很大的帮助,希望未来有机会,能和前辈有更多的交流!

  21. 21#

    crown丶prince (我用双手成就你的梦想) | 2016-06-08 19:39

    @牛 小 帅  @Mr .LZH @小博博 感谢大家细致的建议,已经点击感谢,Wind Punish有你们更精彩!:)

  22. 22#

    crown丶prince (我用双手成就你的梦想) | 2016-06-08 19:40

    @纷纭 @光棍节 @Discover  感谢大家细致的建议,抱歉由于乌云规则,每天只能感谢3次,将尽快给大家点击感谢,Wind Punish有你们更精彩!:)

  23. 23#

    小博博 | 2016-06-09 08:51

    @crown丶prince 谢谢 加油

  24. 24#

    时光刺客 | 2016-06-13 20:50

    语句不通啊

  25. 25#

    君莫笑 (努力学习中,,,,,,,) | 2016-06-16 16:21

    ‘”–></style></scRipt><scRipt >netsparker(0×000167)</scRi pt> netsparker骚得不错