我发现好多网络公司对自家网络安全不太重视

2015-12-07 17:07:30 +08:00
 wd0g

9 月份发现重庆一家传媒网络公司的漏洞,直接上传 GetShell

随之联系该公司负责人

并告知我是如何发现漏洞并拿下 shell 的

也问了对方负责人有没有什么现金奖励的东西

但是通过对话发现,对方负责人(应该是个做产品的)觉得我是在敲诈

于是之后我也没联系该公司

过了几天,这个负责人 QQ 上发消息说:
只要你能让网站出问题,我们就给你奖励

我随即给该负责人打电话,并询问该负责人在 QQ 上说的是否属实

如果我让你们网站出任何问题是否不会负责

估计这个负责人觉得我不是吹牛的

就拉了一个 PHP 程序员和我交流

于是我又重复了一遍我是如何发现漏洞并拿下权限的

程序员听了,还是不相信.就让我在网站上挂一个页面

于是我在根目录下面创建了一个 TXT

程序员觉得我不是吹牛后,就告诉了这个负责人该漏洞的危害性

于是,我又重问之前的事情,是否让你们网站出问题就可以得到现金奖励

程序员对我说:
首先我们感谢你为我们公司报告漏洞,如果你在不损害我司利益的前提下报告,漏洞报给我司.我们会在公司讨论下给予你奖励的问题.因为之前我们也没有遇到过这种情况
如果你用你发下的漏洞损害了我司的利益,那这件事情就得另当别论了

然后程序员说让我把漏洞细节发给他们看,第二天 12 点之前联系我

第二天 12 点过后发现程序员并没有给我打电话

我便打电话过去询问循环程序员为什么不在约定的时候给我打电话

程序员呼吁一下后,便说让他们技术部负责人(下面统称该负责人为 A)和我说

和 A 聊了一会,A 让我去他们公司聊,于是第二天我到了他们公司和 A 聊

到了会议室,A 直接说问我要多少

我:
这和你们公司对安全重视的程度挂钩的,之前我在其他漏洞平台提交和该漏洞齐平的漏洞.
平台会给我****RMB

A:
这有点高啊,因为我们这里有没有先例.这个得和公司内部谈论之后才可以给你答复

我:
你觉得这个漏洞严重吗?

A:
因为我们重要数据主要在 union 域名下,该服务器下并没有什么重要的数据......

我:
所以你们对漏洞的危害性,是通过漏洞影响数据的重要性来标准的?
我发现该服务器下可以直接连到 union 服务器下的数据库!

又是一阵和 A 的讨论后

A 让我先回去,关于奖励的事情.他们必须经过内部讨论后在给我答复

我问 A 大概多久得到消息,A 说一周后

于是我便回家了

如大家期待一周以后我也没得该技术部负责人的任何消息

我也没打电话去问该负责人,于是此事就这么结束了.

这件事情我没搞明白的有下面两个点:
1:贵司相关负责人说到的事情,没有做到
2:为什么不给予漏洞报告人一定的奖励(对双方都是有好处的事情)

420 次点击
所在节点    情感问题
21 条回复
heiybb
2015-12-07 17:14:24 +08:00
所以啊,对于这种 2 货都是直接扔给黑产收拾就好了
Luzifer
2015-12-07 17:18:34 +08:00
兄弟,你这样真的好危险!!! 小心真把你扔局子里去了。

所以有了乌云这样的第三方。吓人。

话说 “情感问题” 是咋回事?
init
2015-12-07 17:20:32 +08:00
肯定不会给你钱咯 毕竟是公司啊 拖过来拖过去的,你也没办法,一旦有事情第一个怀疑的就是你
Luzifer
2015-12-07 17:20:46 +08:00
问对方要现金奖励,你也真是牛逼~
wd0g
2015-12-07 17:22:01 +08:00
@Luzifer 我没有做任何损害贵司利益的事情,我也没有把该漏洞公布到网上
情感问题是因为我对这家公司不会再爱了
wd0g
2015-12-07 17:23:39 +08:00
@Luzifer 给予白帽子现金奖励是对双方都友好的事情,我花时间给你找漏洞,你给我一定的报酬我觉得没错.
不过我没有强求任何公司必须给我什么东西.之前找到漏洞,联系他们的负责人都谈的很愉快
Luzifer
2015-12-07 17:23:51 +08:00
@wd0g 你已经入侵既成事实了啊。。。
wd0g
2015-12-07 17:24:54 +08:00
@Luzifer 恩,应该算是吧,我也没看过相关的法律,只觉得身正不怕影子歪
wd0g
2015-12-07 17:25:35 +08:00
@init 我之前找过好多公司联系过,都是给予现金奖励,或者发礼物
Luzifer
2015-12-07 18:00:32 +08:00
理是你这个理,就怕他提法律~~

我意思是你胆子大了些~~

公司 没授权 没授权 没授权 你做安全测试 。。。身正不怕影子歪--这里也不适用啊~~~

万一对方让你在网站上挂一个页面,是为了钓鱼抓你,你。。。还在根目录下面创建了一个 TXT

o.O

还是小心些吧。
wd0g
2015-12-07 18:53:06 +08:00
@Luzifer ...我选择死亡
kittyoung
2015-12-07 19:21:36 +08:00
奖励不是这么要的 涉世未深 不要太单纯了
你以为付出就要有回报 看起来你还很讲诚信守时
我就不多说了😔
fetich
2015-12-08 02:17:47 +08:00
「贵司」一词让我误以为 V2EX 有漏洞了……

楼主以后还是要小心为好,类似这样的通话最好留录音。
adminsb
2015-12-08 13:00:24 +08:00
你是西狗?灰帽群的?
Explorare
2015-12-08 14:25:56 +08:00
图样啊,还不如丢给黑产,换点零花钱。
wd0g
2015-12-08 18:31:32 +08:00
@adminsb 嗯啊,你是?
wd0g
2015-12-08 18:32:38 +08:00
@fetich 录音的,留一手
adminsb
2015-12-08 20:32:04 +08:00
你猜我是谁
adminsb
2015-12-08 20:32:15 +08:00
我是你静默师傅
wd0g
2015-12-08 23:07:41 +08:00
@adminsb 你不是啊,我问了静默,你到底是谁?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/241773

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX