提交漏洞直接给厂商还是给 CNVD?

2020-02-23 11:28:24 +08:00
 cnskis

如果我找到了教务系统漏洞,是给 cnvd 还是学校还是厂商?
并不是很严重,只是泄露全部学生信息。

5201 次点击
所在节点    问与答
33 条回复
virusdefender
2020-02-23 12:41:31 +08:00
楼上正解,教育网 src
shansing
2020-02-23 12:57:18 +08:00
教育网 src,然而学校也并不一定修。#6 说的还是有道理。
cnskis
2020-02-23 13:25:17 +08:00
@b1rdb0y 可以考虑
@javashell 我没法做更多的验证
@guog 我自己查了-.-
@crella 还好我校没有这个,xswl
@rayhy 提不得,没敢深入了。
@zsmj1024 可以,我看看
@virusdefender 以前居然不知道,只上乌云
@shansing 有的学校还是会修的。
ic2y
2020-02-23 17:00:12 +08:00
@cnskis 提给学校吧。教务系统,一般是自研,或者付费购买的。 以前 wooyun 还在的时候,看到过几个《方正教务系统,新开普教务系统》的漏洞,感觉也没有人管,还要被公开漏洞细节。

提给学校的话,直接说你拿到数据的步骤,然后提供一个泄露数据的截图 警告下 就好了。 当初我也发现了一些校务漏洞,用匿名邮件的方式发给学校,学校还邀请我去喝茶谈谈。我没胆去,只是邮件回复保证数据我都没有保留,后来漏洞还是悄悄修了。
kernelpanic
2020-02-23 17:25:24 +08:00
装作没看到,否则 3 年有期徒刑
cnskis
2020-02-23 17:36:12 +08:00
@ic2y 买的,这个我知道,学校应该叫厂商修。
@kernelpanic 我丢,3 以上 5 以下。
mXw
2020-02-23 18:09:52 +08:00
cnvd 吧
playniuniu
2020-02-23 19:23:48 +08:00
别没事找事,想想给世纪佳缘提交漏洞的那个哥们出来没?
MeteorCat
2020-02-23 19:26:29 +08:00
我个人感觉哈,这种还是别出头;这种教务系统本来错漏百出,或许你提交了以后又爆出问题,他们指不定第一个报警就把你抓起来
mcone
2020-02-23 19:26:45 +08:00
不建议提交,别没事找事

既然你都是乌云年代过来的了,这点自我保护意识都没有?
cnskis
2020-02-23 19:33:52 +08:00
@mXw 我再想想,考虑利弊。
@playniuniu 可惜了乌云,我还有乌云币。
@MeteorCat 有道理。
@mcone 放在那是个隐患。。。-.-
illl
2020-03-12 18:40:31 +08:00
还好我们学校有专门的信息安全中心,里面的老师也比较重视安全,提交的漏洞都会及时被修复。如果是本校的建议直接校内处理了,校外的还是交给漏洞平台。
cnskis
2020-03-12 18:48:36 +08:00
@illl 快一个月的帖子让你挖了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/646764

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX