想在 github 上发布某视频监控产品的漏洞/设计缺陷

2022-06-15 23:17:08 +08:00
 Chaconne

酝酿了一些时间想在 github 上发布某视频监控产品的漏洞,或者说是设计流程安全缺陷————任意可重置管理员密码。但是对 github 不熟悉,英文也不好哈,不知道怎么填写~~ 本人高中学历,非程序员专业 /工作 https://ibb.co/CHztmS9

3051 次点击
所在节点    程序员
25 条回复
x86
2022-06-15 23:19:26 +08:00
我擦,这个好东西呀,坐等公开
dangyuluo
2022-06-15 23:20:44 +08:00
确定是设计缺陷么。。
Chaconne
2022-06-15 23:21:10 +08:00
@x86 很简单的,没技术含量,只是技巧和熟悉产品
quzard
2022-06-15 23:21:18 +08:00
这不太道德吧,如果被人拿去滥用了话,建议还是告诉厂商修复吧
darkengine
2022-06-15 23:21:27 +08:00
建议先打电话给厂家
crab
2022-06-15 23:21:33 +08:00
官方网站不是有上报渠道吗
Chaconne
2022-06-15 23:22:31 +08:00
@dangyuluo 是的,去年电话反馈过,他们的意思是:民用 /家庭级的产品就这样,大有“我们就不改了”,但是金融、能源行业用的产品不按这套流程走,比较安全
Chaconne
2022-06-15 23:23:03 +08:00
@quzard 详见我刚回复另一兄 dei 的
Chaconne
2022-06-15 23:23:15 +08:00
@darkengine 详见我刚回复另一兄 dei 的
hs0000t
2022-06-15 23:37:27 +08:00
一句话 保护好隐私
关键词乌云 世纪佳缘
psydonki
2022-06-15 23:42:14 +08:00
github 上中文的内容也很多,新建一个公开的仓库,修改 readme.md 就可以。
有监督才会有进步
Les1ie
2022-06-16 01:02:14 +08:00
如果厂商不管的话,推荐的流程是报给 CNVD ,由上级去推动厂商修复漏洞,还可以奖励你一个证书 :)

https://www.cnvd.org.cn/

你已经联系厂商了,厂商不受理,按理说你这已经是负责任的漏洞披露流程了,可以在其他平台公开这个漏洞。

但是,我个人不建议直接公开这个漏洞,毕竟如果漏洞影响面比较大,那么受影响的是普通用户,不如让漏洞一直存在下去吧,知道的人越少越好。 老产品存在不被修复的漏洞是很普遍的,只要不被发现、不被公开,影响还是比全网公开更小的。
chendy
2022-06-16 07:56:06 +08:00
公开了之后厂商怎么样不好说
普通用户可能就遭殃了
flyqie
2022-06-16 08:13:33 +08:00
如果你有临时修补方案,请谨慎公开漏洞细节和 POC ,因为某些用户可能无法及时了解到该信息并予以修补。

如果你没有临时修补方案,请永远不要公开漏洞细节和 POC ,厂商不负责任不代表用户需要承担因你而造成的风险。

一旦公开漏洞细节和 POC ,该漏洞的利用门槛将显著降低。

前几楼老哥已经发了相关地址了,建议向上级反馈推动厂商积极性。

感谢你做出的努力。
darkengine
2022-06-16 08:43:58 +08:00
要么向相关部门报备,不然到时候公布了造成损失厂家还倒打一耙
czfy
2022-06-16 10:09:40 +08:00
以前还有乌云,现在毛都没有了
tuutoo
2022-06-16 10:10:07 +08:00
建议直接联系厂家试试 说不定给你奖励呢
发 github 有啥好处 还可能被有居心的人拿去滥用.
catsoul
2022-06-16 10:16:08 +08:00
@tuutoo OP 联系过了,海康的态度是无所谓,没必要改。所以 OP 才考虑要不要公开
q1angch0u
2022-06-16 10:19:20 +08:00
网络安全法关注一下…小心别进去了
iTakeo
2022-06-16 11:20:19 +08:00
别人能重置密码?家里两台萤石的。说的有点担心了啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/859889

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX