酝酿了一些时间想在 github 上发布某视频监控产品的漏洞,或者说是设计流程安全缺陷————任意可重置管理员密码。但是对 github 不熟悉,英文也不好哈,不知道怎么填写~~ 本人高中学历,非程序员专业 /工作 https://ibb.co/CHztmS9
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 1461 days ago, the information mentioned may be changed or developed.
 |
1
x86 Jun 15, 2022
我擦,这个好东西呀,坐等公开
|
 |
2
dangyuluo Jun 15, 2022
确定是设计缺陷么。。
|
 |
4
quzard Jun 15, 2022 via iPhone
这不太道德吧,如果被人拿去滥用了话,建议还是告诉厂商修复吧
|
 |
5
darkengine Jun 15, 2022
建议先打电话给厂家
|
 |
6
crab Jun 15, 2022
官方网站不是有上报渠道吗
|
 |
7
Chaconne OP @dangyuluo 是的,去年电话反馈过,他们的意思是:民用 /家庭级的产品就这样,大有“我们就不改了”,但是金融、能源行业用的产品不按这套流程走,比较安全
|
|
9
Chaconne OP @darkengine 详见我刚回复另一兄 dei 的
|
 |
10
hs0000t Jun 15, 2022 via Android  6
一句话 保护好隐私
关键词乌云 世纪佳缘 |
 |
12
Les1ie Jun 16, 2022 6
如果厂商不管的话,推荐的流程是报给 CNVD ,由上级去推动厂商修复漏洞,还可以奖励你一个证书 :)
https://www.cnvd.org.cn/ 你已经联系厂商了,厂商不受理,按理说你这已经是负责任的漏洞披露流程了,可以在其他平台公开这个漏洞。 但是,我个人不建议直接公开这个漏洞,毕竟如果漏洞影响面比较大,那么受影响的是普通用户,不如让漏洞一直存在下去吧,知道的人越少越好。 老产品存在不被修复的漏洞是很普遍的,只要不被发现、不被公开,影响还是比全网公开更小的。 |
 |
13
chendy Jun 16, 2022
公开了之后厂商怎么样不好说
普通用户可能就遭殃了 |
 |
14
flyqie Jun 16, 2022 via Android 4
如果你有临时修补方案,请谨慎公开漏洞细节和 POC ,因为某些用户可能无法及时了解到该信息并予以修补。
如果你没有临时修补方案,请永远不要公开漏洞细节和 POC ,厂商不负责任不代表用户需要承担因你而造成的风险。 一旦公开漏洞细节和 POC ,该漏洞的利用门槛将显著降低。 前几楼老哥已经发了相关地址了,建议向上级反馈推动厂商积极性。 感谢你做出的努力。 |
|
15
darkengine Jun 16, 2022
要么向相关部门报备,不然到时候公布了造成损失厂家还倒打一耙
|
 |
16
jr55475f112iz2tu Jun 16, 2022
以前还有乌云,现在毛都没有了
|
 |
17
tuutoo Jun 16, 2022
建议直接联系厂家试试 说不定给你奖励呢
发 github 有啥好处 还可能被有居心的人拿去滥用. |
 |
19
ryanbuu Jun 16, 2022 via iPhone
网络安全法关注一下…小心别进去了
|
 |
20
iTakeo Jun 16, 2022
别人能重置密码?家里两台萤石的。说的有点担心了啊
|
 |
21
baobao1270 Jun 16, 2022 2
建议虚拟机操作,TOR 注册 github 小号,该账号用后即弃。
|
 |
22
jackma0571 Jun 16, 2022
怎么操作,捅设备上的 reset 孔?
|
 |
23
lance86 Jun 16, 2022
不知道这个漏洞会不会被大规模的远程利用。如果可以远程利用,普通用户要遭殃。
主要是就算厂商修复了,绝大多数普通用户还是得不到通知,或者知道了也不会去修复。 另外说一句厂商对自己的 bug 是这种态度,就是在助长黑产。 |
 |
24
Jooooooooo Jun 16, 2022
这么说吧, 这是违法的.
|
 |
25
mritd Jun 16, 2022 via iPhone
兄弟 今天有个哥们跟你一样,也是被深信服反手就给搞了,慎重啊
|
Select Language