第一次向乌云提交漏洞，成为一名白帽子

WOOYUN.ORG也叫做白帽子技术社区，和该社区第一次接触并不是这次我提交的漏洞，而是：

半年前我在github创建了一个小项目，当时除了公司小伙伴以外，还有外公司的朋友一起来搞的，某个小伙伴安全意识不强，扑了公司线上数据库和密码上去，该库被外公司朋友fork以后，一直联系不到，虽然很快就把泄漏的密码给修改了。但是时隔半年，还是被人扑到了乌云，这是我和乌云的第一次接触。

然后要说说我自己提交的漏洞，上次的事件让我认识了乌云网，其实大家上网那么多年经常会发现一些漏洞，如果每次都无视，可能会被一些不法分子发现并做坏事，对相应的公司造成损失，如果能及时将漏洞提交到乌云网，就可以由乌云网来联系出漏洞的公司，会引起足够的重视（如单独给BAT发信根本无法引起重视）。除了具有社会性的意义以外，还可以提升码农个人的安全意识和社会影响力。考虑到这些，就产生了把最近发现的一个漏洞扑到乌云的想法。

最近在搞storm，所以经常在谷歌搜索一些和storm相关的信息，偶然发现“孔明科技”(kmsocial.cn)的storm集群居然可以被外网访问，通过谷歌搜索引擎可以搜到该集群的storm ui页面，进入该页面以后可以对所有在线的job（storm中称为topology）进行kill/rebalance/deactive等操作，可以对集群资源进行重新分配，如为某个job增减进程等。