This topic created in 4144 days ago, the information mentioned may be changed or developed.
V2的白帽可以去试试了。
 |
1
lincanbin Dec 28, 2014
悬赏金多少万?
|
 |
2
welsmann Dec 28, 2014
五亿 : 两千
|
 |
3
xatest Dec 28, 2014 via iPad  3
一个众所周知的漏洞:自签名证书可以进行中间人攻击~请问拿奖金要联系谁?
|
 |
5
bluu Dec 28, 2014
这个自签名的证书,一个恶意的手机应用就很容易在手机上截获所有通讯信息
|
 |
6
icedx Dec 28, 2014
2万还可以
|
 |
7
Quaintjade Dec 28, 2014 via Android
@bluu 说很容易不恰当。自签证书私钥未泄漏时,本身是安全的。
自签证书风险之一是私钥保管不善导致泄漏。之二是,访问者知道它用的是自签,首次访问会去安装根证书,中间人可以在此时替换根证书,从而导致本机的证书体系失效;或者因为是自签,所以必须无视安全警告,从而无法判断12306网站的真伪。 |
 |
8
luo362722353 Dec 28, 2014 via iPhone
每次弹出证书不信任的时候挺烦的…@bluu
|
 |
9
DreaMQ Dec 28, 2014
我觉得两万都不太够
|
 |
10
rockpine Dec 28, 2014
已经设置为最高奖励一千了
看到一个“带头大哥”的,轻轻松就拿了三四千,估计是漏洞太多,铁道研究院不得不降低奖励的金额 |
 |
11
hggg OP 最高好像2000!
|
 |
12
14 Dec 28, 2014
|
 |
13
typcn Dec 28, 2014
 |
 |
14
harrysummer Dec 28, 2014
那个带头大哥真乃神人也!
|
|
15
hggg OP @harrysummer 提交可真多~
|
 |
17
xierch Dec 28, 2014
它要求用户下载并导入根证书,
问题是那个根证书的下载页面、下载链接都是 plain HTTP.. 要确保这方面万无一失,还是得全站 HTTPS 加上 HSTS,再提交给浏览器厂商。 不然也就只能要求用户少用公共 Wi-Fi 啊什么的降低些许风险了.. |
|
18
bluu Dec 28, 2014
没有内置根证书的话,通讯被截获的风险是100%
|
 |
19
crs0910 Dec 28, 2014
那个带头大哥应该不是一个人吧?一天提交不同网站那么多漏洞。。。。吓哭
|
 |
20
WLW Dec 28, 2014
带头大哥 = 佚名
|
 |
22
jimmy Dec 29, 2014
昨天看到的是2000,我就在想,这2000领了,是不是也得以某种zui名吃牢饭呢?
|
Select Language