我发现好多网络公司对自家网络安全不太重视

2015-12-07 17:07:30 +08:00
 wd0g

9 月份发现重庆一家传媒网络公司的漏洞,直接上传 GetShell

随之联系该公司负责人

并告知我是如何发现漏洞并拿下 shell 的

也问了对方负责人有没有什么现金奖励的东西

但是通过对话发现,对方负责人(应该是个做产品的)觉得我是在敲诈

于是之后我也没联系该公司

过了几天,这个负责人 QQ 上发消息说:
只要你能让网站出问题,我们就给你奖励

我随即给该负责人打电话,并询问该负责人在 QQ 上说的是否属实

如果我让你们网站出任何问题是否不会负责

估计这个负责人觉得我不是吹牛的

就拉了一个 PHP 程序员和我交流

于是我又重复了一遍我是如何发现漏洞并拿下权限的

程序员听了,还是不相信.就让我在网站上挂一个页面

于是我在根目录下面创建了一个 TXT

程序员觉得我不是吹牛后,就告诉了这个负责人该漏洞的危害性

于是,我又重问之前的事情,是否让你们网站出问题就可以得到现金奖励

程序员对我说:
首先我们感谢你为我们公司报告漏洞,如果你在不损害我司利益的前提下报告,漏洞报给我司.我们会在公司讨论下给予你奖励的问题.因为之前我们也没有遇到过这种情况
如果你用你发下的漏洞损害了我司的利益,那这件事情就得另当别论了

然后程序员说让我把漏洞细节发给他们看,第二天 12 点之前联系我

第二天 12 点过后发现程序员并没有给我打电话

我便打电话过去询问循环程序员为什么不在约定的时候给我打电话

程序员呼吁一下后,便说让他们技术部负责人(下面统称该负责人为 A)和我说

和 A 聊了一会,A 让我去他们公司聊,于是第二天我到了他们公司和 A 聊

到了会议室,A 直接说问我要多少

我:
这和你们公司对安全重视的程度挂钩的,之前我在其他漏洞平台提交和该漏洞齐平的漏洞.
平台会给我****RMB

A:
这有点高啊,因为我们这里有没有先例.这个得和公司内部谈论之后才可以给你答复

我:
你觉得这个漏洞严重吗?

A:
因为我们重要数据主要在 union 域名下,该服务器下并没有什么重要的数据......

我:
所以你们对漏洞的危害性,是通过漏洞影响数据的重要性来标准的?
我发现该服务器下可以直接连到 union 服务器下的数据库!

又是一阵和 A 的讨论后

A 让我先回去,关于奖励的事情.他们必须经过内部讨论后在给我答复

我问 A 大概多久得到消息,A 说一周后

于是我便回家了

如大家期待一周以后我也没得该技术部负责人的任何消息

我也没打电话去问该负责人,于是此事就这么结束了.

这件事情我没搞明白的有下面两个点:
1:贵司相关负责人说到的事情,没有做到
2:为什么不给予漏洞报告人一定的奖励(对双方都是有好处的事情)

419 次点击
所在节点    情感问题
21 条回复
adminsb
2015-12-08 23:35:24 +08:00
我是你蚂蚁师傅

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/241773

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX