这是一个创建于 3117 天前的主题,其中的信息可能已经有所发展或是发生改变。
此次某易被曝出的 100 条数据被同行恶意炒作,吸引了大量不明真相的群众;
暂且不说数据真实性和危害,仅从公开的漏洞信息客观的看看国内各大厂商的安全做的如何。
 |
3
M4ster OP 搜狐邮箱持久类型 XSS http://www.wooyun.org/bugs/wooyun-2010-0120178
sohu 邮箱正文出存在 XSS 漏洞 http://www.wooyun.org/bugs/wooyun-2010-0115134 搜狐邮箱存储型 XSS 无需点击直接触发 http://www.wooyun.org/bugs/wooyun-2010-094135 搜狐邮箱邮件正文存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-060902 搜狐邮箱手机版存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-055178 搜狐邮箱存储型 XSS(危害放大技巧) http://www.wooyun.org/bugs/wooyun-2010-054403 搜狐邮箱正文存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-054216 搜狐邮箱正文存储型 XSS (回复或转发触发) http://www.wooyun.org/bugs/wooyun-2010-051969 搜狐邮箱存储型 XSS (需点击) http://www.wooyun.org/bugs/wooyun-2010-045277 搜狐邮箱某处存储性 XSS 两枚 http://www.wooyun.org/bugs/wooyun-2010-039879 搜狐邮箱一处平行权限漏洞 http://www.wooyun.org/bugs/wooyun-2010-036557 搜狐邮箱 Struts2 任意命令执行 http://www.wooyun.org/bugs/wooyun-2010-011853 搜狐邮箱业务命令执行漏洞 http://www.wooyun.org/bugs/wooyun-2010-029265 搜狐邮箱密码找回功能设计脆弱,可通过认知密码修改大部分邮箱口令 http://www.wooyun.org/bugs/wooyun-2010-08319 搜狐邮箱 3 处反射 xss http://www.wooyun.org/bugs/wooyun-2010-06268 |
 |
5
hzzday 2015-10-22 08:40:53 +08:00
有没有 google outlook 的。。
|
|
6
M4ster OP @hzzday Google 和 Outlook 漏洞也并不少见,只是举例了国内部分厂商。当然,我国和米国的差距还是有的。
|
 |
7
Slienc7 2015-10-22 08:52:24 +08:00 via Android
5 年前的漏洞来强行洗地有意义吗?
你想说明什么? |
 |
8
XianZaiZhuCe 2015-10-22 08:55:13 +08:00
@xgowex 你凭什么说这是五年前的?点进去看了没有?
|
 |
9
mrjoel 2015-10-22 08:58:36 +08:00 via Android
本来就没有绝对安全的系统,有漏洞被发出来然后修复是可以理解的(这证明了安全工作者和厂商在努力)。可怕的是假装没有漏洞,以公关投入代替安全投入。
|
 |
10
x86 2015-10-22 09:01:58 +08:00
人家 TX 的出了问题承认呀
|
|
11
x86 2015-10-22 09:02:32 +08:00
擦。几年前的
|
|
12
Slienc7 2015-10-22 09:03:33 +08:00 via Android
0-3 年
@XianZaiZhuCe |
 |
13
int64ago 2015-10-22 09:04:21 +08:00
|
 |
14
miclushine 2015-10-22 09:06:32 +08:00
卧槽,还能这样强行洗地。。。地上水泥都给洗掉了好不。
|
 |
15
NetCobra 2015-10-22 09:08:48 +08:00
lz 想证明什么呢?网易做的没问题?还是其实大家都一样烂?
|
 |
16
alex321 2015-10-22 09:13:09 +08:00
别再洗地了,网易这个漏洞好几年前就已经被黑产利用上了。仔细看看这里反馈的网易众多 xss ,验证码形同虚设,二步验证被轻松绕过等等问题,再看看网易屡次三番地说这是撞库。好吧,既然撞库,那么包含注册 IP 、时间和密码保护资料的 54G 多的数据从何而来?如果真如网易所说的是撞库,你给出切实理由啊,我们不是谁主张谁举证么。
从根本上来说,这就是网易不作为。再看看网易的其他方面,最拿得出手的就是新闻评论了,虽然神人辈出,那里面绝大多数还是各种年轻小伙伴啊,就是给大家增加了点茶余饭后的谈资。 作为曾经数一数二的门户,和标榜各领域第一的在线电子邮件服务商,出问题了,只知道利用公关洗地,试问,看过国内其他大厂是如何做的么?即便从公关角度上,人家的手段就比你高好几个层次。网易,早已经沦为二流门户了。加以时日,也就可以洗洗睡了。 |
 |
17
visonme 2015-10-22 09:13:28 +08:00
其实对于企业爆出的安全问题,作为普通的客户,生气是可以理解的,毕竟你的很多隐私可能直接就暴露在互联网之下了,但是对企业方我们也是要多点理解的。
安全是个相对的话题,在安全问题暴露时候企业方的态度和作为是很重要的,如果对方企业能积极的处理存在的问题,有一套相对完善成熟的应对安全问题的机制,那么我们应该是多点理解的,而不是在网络不断将问题扩大化 ,不断的 XXXXX |
|
18
NetCobra 2015-10-22 09:25:49 +08:00
|
 |
19
CRH 2015-10-22 09:28:58 +08:00  3
一个 800 年没用过的网易邮箱帐号,密码十多位,而且这个密码从来没在别处用过的
昨天登上去发现一堆异地登录信息 你跟我说那 100 条是炒作? |
 |
20
flydogs 2015-10-22 09:36:39 +08:00
国内那些公司就是比谁更烂
|
 |
23
Zzzzzzzzz 2015-10-22 11:24:05 +08:00
@CRH 猪厂产品经理得给异地登录背一半锅,以前推绑手机号的邮箱小号时, 我和我朋友一堆用 163 的都出现大量异地登录的记录, 登录就提示有安全问题, 绑定手机号才安全, 坚持不绑就一直出现不同的异地登录记录, 一旦绑了就再也没有了。
|
 |
24
andyL 2015-10-22 11:31:30 +08:00
乌云的技术人员给我一种很牛逼的感觉,大神
|
 |
26
kiritoalex 2015-10-22 12:28:15 +08:00 via Android
行行行,你觉得安全你就继续用吧,好像谁没有安全的邮箱似的
|
 |
27
imn1 2015-10-22 13:18:26 +08:00
老丁啊,作为一个自 telnet 火鸟 BBS 时代延续至今的用户,这次也看不下去了
|
|
28
visonme 2015-10-22 14:25:13 +08:00
@NetCobra
其实你的回答,我的理解是很无奈的,甚至有点抬杠的问题。 你的对比没有错,但是拿个银行出来做对比,你自己不觉得很可笑吗,因为我已经在脑子里有一百个可以跟你一样的对比对象了? 我只是在客观的说明一些问题而已。强调的是企业出现了安全问题,在后续中应该如何去补救,而在安全问题后,企业如果去改善产品,服务等安全性问题是很重要的。 如果说在安全问题发生后,企业的不作为和不在意,那才是应该是我们要关注和讨论的,而对于能积极处理问题的我们还是要多点理解的。难道不是吗,这就好像人是不可能不会犯错误的和世界上没有后悔药一样、 |
 |
30
zander 2015-10-22 14:29:22 +08:00
技术人员即使站队,也要站自己这一队。你们想想:如果钱花在“平事儿”上就能无惧安全问题,那为什么要投入在技术上呢? via @tombkeeper
|
 |
31
fashioncj 2015-10-22 18:59:46 +08:00
世界上没有绝对安全的程序。安全一直是一种博弈。
|
Select Language