12306 接入补天,悬赏漏洞。

2014-12-28 11:44:15 +08:00
 hggg
V2的白帽可以去试试了。
4383 次点击
所在节点    分享发现
22 条回复
lincanbin
2014-12-28 11:50:37 +08:00
悬赏金多少万?
welsmann
2014-12-28 11:51:47 +08:00
五亿 : 两千
xatest
2014-12-28 11:54:06 +08:00
一个众所周知的漏洞:自签名证书可以进行中间人攻击~请问拿奖金要联系谁?
bluu
2014-12-28 12:15:25 +08:00
@xatest
12306可能不懂。
也或者是不怕,但是不怕你悬赏干毛!
bluu
2014-12-28 12:18:07 +08:00
这个自签名的证书,一个恶意的手机应用就很容易在手机上截获所有通讯信息
icedx
2014-12-28 12:28:08 +08:00
2万还可以
Quaintjade
2014-12-28 12:55:15 +08:00
@bluu 说很容易不恰当。自签证书私钥未泄漏时,本身是安全的。
自签证书风险之一是私钥保管不善导致泄漏。之二是,访问者知道它用的是自签,首次访问会去安装根证书,中间人可以在此时替换根证书,从而导致本机的证书体系失效;或者因为是自签,所以必须无视安全警告,从而无法判断12306网站的真伪。
luo362722353
2014-12-28 12:56:39 +08:00
每次弹出证书不信任的时候挺烦的…@bluu
DreaMQ
2014-12-28 13:38:02 +08:00
我觉得两万都不太够
rockpine
2014-12-28 13:46:24 +08:00
已经设置为最高奖励一千了
看到一个“带头大哥”的,轻轻松就拿了三四千,估计是漏洞太多,铁道研究院不得不降低奖励的金额
hggg
2014-12-28 16:28:25 +08:00
最高好像2000!
14
2014-12-28 16:36:49 +08:00
typcn
2014-12-28 16:45:04 +08:00
harrysummer
2014-12-28 16:58:38 +08:00
那个带头大哥真乃神人也!
hggg
2014-12-28 17:05:56 +08:00
@harrysummer 提交可真多~
wy315700
2014-12-28 17:18:52 +08:00
@xatest 你能搞得到私钥?
xierch
2014-12-28 19:48:20 +08:00
它要求用户下载并导入根证书,
问题是那个根证书的下载页面、下载链接都是 plain HTTP..

要确保这方面万无一失,还是得全站 HTTPS 加上 HSTS,再提交给浏览器厂商。

不然也就只能要求用户少用公共 Wi-Fi 啊什么的降低些许风险了..
bluu
2014-12-28 21:10:33 +08:00
没有内置根证书的话,通讯被截获的风险是100%
crs0910
2014-12-28 22:29:03 +08:00
那个带头大哥应该不是一个人吧?一天提交不同网站那么多漏洞。。。。吓哭
WLW
2014-12-28 22:31:19 +08:00
带头大哥 = 佚名

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/157293

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX