这是一个创建于 3838 天前的主题,其中的信息可能已经有所发展或是发生改变。
此次某易被曝出的 100 条数据被同行恶意炒作,吸引了大量不明真相的群众;
暂且不说数据真实性和危害,仅从公开的漏洞信息客观的看看国内各大厂商的安全做的如何。
 | 3 M4ster OP 搜狐邮箱持久类型 XSS http://www.wooyun.org/bugs/wooyun-2010-0120178 sohu 邮箱正文出存在 XSS 漏洞 http://www.wooyun.org/bugs/wooyun-2010-0115134 搜狐邮箱存储型 XSS 无需点击直接触发 http://www.wooyun.org/bugs/wooyun-2010-094135 搜狐邮箱邮件正文存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-060902 搜狐邮箱手机版存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-055178 搜狐邮箱存储型 XSS(危害放大技巧) http://www.wooyun.org/bugs/wooyun-2010-054403 搜狐邮箱正文存储型 XSS http://www.wooyun.org/bugs/wooyun-2010-054216 搜狐邮箱正文存储型 XSS (回复或转发触发) http://www.wooyun.org/bugs/wooyun-2010-051969 搜狐邮箱存储型 XSS (需点击) http://www.wooyun.org/bugs/wooyun-2010-045277 搜狐邮箱某处存储性 XSS 两枚 http://www.wooyun.org/bugs/wooyun-2010-039879 搜狐邮箱一处平行权限漏洞 http://www.wooyun.org/bugs/wooyun-2010-036557 搜狐邮箱 Struts2 任意命令执行 http://www.wooyun.org/bugs/wooyun-2010-011853 搜狐邮箱业务命令执行漏洞 http://www.wooyun.org/bugs/wooyun-2010-029265 搜狐邮箱密码找回功能设计脆弱,可通过认知密码修改大部分邮箱口令 http://www.wooyun.org/bugs/wooyun-2010-08319 搜狐邮箱 3 处反射 xss http://www.wooyun.org/bugs/wooyun-2010-06268 |
 | 5 hzzday 2015 年 10 月 22 日 有没有 google outlook 的。。 |
 | 7 Slienc7 2015 年 10 月 22 日 via Android 5 年前的漏洞来强行洗地有意义吗? 你想说明什么? |
 | 8 XianZaiZhuCe 2015 年 10 月 22 日 @xgowex 你凭什么说这是五年前的?点进去看了没有? |
 | 9 mrjoel 2015 年 10 月 22 日 via Android 本来就没有绝对安全的系统,有漏洞被发出来然后修复是可以理解的(这证明了安全工作者和厂商在努力)。可怕的是假装没有漏洞,以公关投入代替安全投入。 |
 | 10 x86 2015 年 10 月 22 日 人家 TX 的出了问题承认呀 |
| 11 x86 2015 年 10 月 22 日 擦。几年前的 |
| 12 Slienc7 2015 年 10 月 22 日 via Android 0-3 年 @XianZaiZhuCe |
 | 13 int64ago 2015 年 10 月 22 日 |
 | 14 miclushine 2015 年 10 月 22 日 卧槽,还能这样强行洗地。。。地上水泥都给洗掉了好不。 |
 | 15 NetCobra 2015 年 10 月 22 日 lz 想证明什么呢?网易做的没问题?还是其实大家都一样烂? |
 | 16 alex321 2015 年 10 月 22 日 别再洗地了,网易这个漏洞好几年前就已经被黑产利用上了。仔细看看这里反馈的网易众多 xss ,验证码形同虚设,二步验证被轻松绕过等等问题,再看看网易屡次三番地说这是撞库。好吧,既然撞库,那么包含注册 IP 、时间和密码保护资料的 54G 多的数据从何而来?如果真如网易所说的是撞库,你给出切实理由啊,我们不是谁主张谁举证么。 从根本上来说,这就是网易不作为。再看看网易的其他方面,最拿得出手的就是新闻评论了,虽然神人辈出,那里面绝大多数还是各种年轻小伙伴啊,就是给大家增加了点茶余饭后的谈资。 作为曾经数一数二的门户,和标榜各领域第一的在线电子邮件服务商,出问题了,只知道利用公关洗地,试问,看过国内其他大厂是如何做的么?即便从公关角度上,人家的手段就比你高好几个层次。网易,早已经沦为二流门户了。加以时日,也就可以洗洗睡了。 |
 | 17 visonme 2015 年 10 月 22 日 其实对于企业爆出的安全问题,作为普通的客户,生气是可以理解的,毕竟你的很多隐私可能直接就暴露在互联网之下了,但是对企业方我们也是要多点理解的。 安全是个相对的话题,在安全问题暴露时候企业方的态度和作为是很重要的,如果对方企业能积极的处理存在的问题,有一套相对完善成熟的应对安全问题的机制,那么我们应该是多点理解的,而不是在网络不断将问题扩大化 ,不断的 XXXXX |
| 18 NetCobra 2015 年 10 月 22 日 |
 | 19 CRH 2015 年 10 月 22 日  3 一个 800 年没用过的网易邮箱帐号,密码十多位,而且这个密码从来没在别处用过的 昨天登上去发现一堆异地登录信息 你跟我说那 100 条是炒作? |
 | 20 flydogs 2015 年 10 月 22 日 国内那些公司就是比谁更烂 |
 | 23 Zzzzzzzzz 2015 年 10 月 22 日 @CRH 猪厂产品经理得给异地登录背一半锅,以前推绑手机号的邮箱小号时, 我和我朋友一堆用 163 的都出现大量异地登录的记录, 登录就提示有安全问题, 绑定手机号才安全, 坚持不绑就一直出现不同的异地登录记录, 一旦绑了就再也没有了。 |
 | 24 andyL 2015 年 10 月 22 日 乌云的技术人员给我一种很牛逼的感觉,大神 |
 | 26 kiritoalex 2015 年 10 月 22 日 via Android 行行行,你觉得安全你就继续用吧,好像谁没有安全的邮箱似的 |
 | 27 imn1 2015 年 10 月 22 日 老丁啊,作为一个自 telnet 火鸟 BBS 时代延续至今的用户,这次也看不下去了 |
| 28 visonme 2015 年 10 月 22 日 @NetCobra 其实你的回答,我的理解是很无奈的,甚至有点抬杠的问题。 你的对比没有错,但是拿个银行出来做对比,你自己不觉得很可笑吗,因为我已经在脑子里有一百个可以跟你一样的对比对象了? 我只是在客观的说明一些问题而已。强调的是企业出现了安全问题,在后续中应该如何去补救,而在安全问题后,企业如果去改善产品,服务等安全性问题是很重要的。 如果说在安全问题发生后,企业的不作为和不在意,那才是应该是我们要关注和讨论的,而对于能积极处理问题的我们还是要多点理解的。难道不是吗,这就好像人是不可能不会犯错误的和世界上没有后悔药一样、 |
 | 30 zander 2015 年 10 月 22 日 技术人员即使站队,也要站自己这一队。你们想想:如果钱花在“平事儿”上就能无惧安全问题,那为什么要投入在技术上呢? via @tombkeeper |
 | 31 fashioncj 2015 年 10 月 22 日 世界上没有绝对安全的程序。安全一直是一种博弈。 |
Select Language