9 月份发现重庆一家传媒网络公司的漏洞,直接上传 GetShell
随之联系该公司负责人
并告知我是如何发现漏洞并拿下 shell 的
也问了对方负责人有没有什么现金奖励的东西
但是通过对话发现,对方负责人(应该是个做产品的)觉得我是在敲诈
于是之后我也没联系该公司
过了几天,这个负责人 QQ 上发消息说:
只要你能让网站出问题,我们就给你奖励
我随即给该负责人打电话,并询问该负责人在 QQ 上说的是否属实
如果我让你们网站出任何问题是否不会负责
估计这个负责人觉得我不是吹牛的
就拉了一个 PHP 程序员和我交流
于是我又重复了一遍我是如何发现漏洞并拿下权限的
程序员听了,还是不相信.就让我在网站上挂一个页面
于是我在根目录下面创建了一个 TXT
程序员觉得我不是吹牛后,就告诉了这个负责人该漏洞的危害性
于是,我又重问之前的事情,是否让你们网站出问题就可以得到现金奖励
程序员对我说:
首先我们感谢你为我们公司报告漏洞,如果你在不损害我司利益的前提下报告,漏洞报给我司.我们会在公司讨论下给予你奖励的问题.因为之前我们也没有遇到过这种情况
如果你用你发下的漏洞损害了我司的利益,那这件事情就得另当别论了
然后程序员说让我把漏洞细节发给他们看,第二天 12 点之前联系我
第二天 12 点过后发现程序员并没有给我打电话
我便打电话过去询问循环程序员为什么不在约定的时候给我打电话
程序员呼吁一下后,便说让他们技术部负责人(下面统称该负责人为 A)和我说
和 A 聊了一会,A 让我去他们公司聊,于是第二天我到了他们公司和 A 聊
到了会议室,A 直接说问我要多少
我:
这和你们公司对安全重视的程度挂钩的,之前我在其他漏洞平台提交和该漏洞齐平的漏洞.
平台会给我****RMB
A:
这有点高啊,因为我们这里有没有先例.这个得和公司内部谈论之后才可以给你答复
我:
你觉得这个漏洞严重吗?
A:
因为我们重要数据主要在 union 域名下,该服务器下并没有什么重要的数据......
我:
所以你们对漏洞的危害性,是通过漏洞影响数据的重要性来标准的?
我发现该服务器下可以直接连到 union 服务器下的数据库!
又是一阵和 A 的讨论后
A 让我先回去,关于奖励的事情.他们必须经过内部讨论后在给我答复
我问 A 大概多久得到消息,A 说一周后
于是我便回家了
如大家期待一周以后我也没得该技术部负责人的任何消息
我也没打电话去问该负责人,于是此事就这么结束了.
这件事情我没搞明白的有下面两个点:
1:贵司相关负责人说到的事情,没有做到
2:为什么不给予漏洞报告人一定的奖励(对双方都是有好处的事情)
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.