四月最撸力 + 最土豪洞主评选结果出炉 (WOOYUN)

  • A+
所属分类:WooYun-Zone

疯狗四月最撸力 + 最土豪洞主评选结果出炉  (WOOYUN) (阅尽天下漏洞,心中自然无码。) 四月最撸力 + 最土豪洞主评选结果出炉  (WOOYUN) | 2014-05-14 13:07

激情澎湃的四月,各种知识各种招儿,各种澎湃各种飘啊~
这个月大家发现乌云很多承诺的东西都在慢慢兑现,平台也在逐步改进,其实达成目标只需要一些精力与时间。梦想虽然遥远,但我们不曾放弃,只因一路有你!
四月最撸力 + 最土豪洞主评选结果出炉  (WOOYUN)

四月最佳洞主:
@insight-labs WooYun: 淘宝主站运维不当导致可以登录随机用户并且获取服务器敏感信息 (四月份我们谈什么漏洞?当然是心脏出血,一个传统安全组件从头到脚的完爆啊,而且SSL之下又多是密码明文的传输,真是信任到家了,值得反省)
@Lucien 报告的 WooYun: 秘密APP逻辑缺陷导致可猜测秘密具体发布者是哪个好友 (厂商虽然如此评论,但实际测试情况确实是精准的获取到了指定用户的秘密信息,可能是各种“不知情”的因素导致的结果,只需简单并有效的逻辑思维即可找到此类APP的设计弱点,使用这种产品的时候我们做到心里有数就好)
@dsb2468 WooYun: QQ文件传输功能存在设计漏洞(可能导致用户执行恶意exe文件) (漏洞太搞了,用产品还真别想当然,虽然被评为低危但我还真可能中这个招的!别以漏洞等级评测漏洞可能造成的影响)

这里要额外提到 @卖火柴的小男孩 WooYun: 部分Android系统WIFI SSID可以解析html代码(或造成本地拒绝服务无法开机) (大三星爆了这么个漏洞,WIFI SSID居然也支持webview?!真是一切皆可X啊,这个案例还有个拓展阅读:http://drops.wooyun.org/papers/1472)
还有就是 @Allmylife 报告的 WooYun: 从迅雷帐号到个人电脑的入侵-一种特殊的攻击手法 (估计很多人都有过这个想法,能通过下载软件直接把木马下载到用户电脑里。现在云实现了这点,只不过利用门槛还是很高,大家不用过于担心)

PS:最后提下,这个月安全趋势发现一些比较传统的邮件系统(eYou TurboMail WinMail 等)出现了各种奇葩漏洞,对企业内部敏感信息传输都是致命的影响(甚至直接的命令执行),需要企业和安全从业者们警惕。因为企业邮件内的办公流以及敏感帐号信息甚至VPN都会在邮件内传播,所以邮件永远都是个短板。

四月最撸力洞主:
No.1  @浩天
No.2  @
No.3  @kobin97
按照乌云惯例,根据名次他们分别获得150wb 100wb 50wb 的奖励,恭喜!

四月最土豪洞主:
(通用型漏洞篇)
¥13200  @wefgod
¥7500  @′  雨。
¥6500  @xfkxfk
¥6500  @xcoder
¥4500  @夕风号

(乌云众测篇)
¥40200  @带馅儿馒头
¥19400  @kobin97
¥7000  @猪猪侠
¥5400  @专业种田
¥2600  @zzR

--------------------------------------------------------

PS:想给每月的洞主评选起个高大上的名字,大家帮忙想想,有乌云特色与文化的:)

分享到: