V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wd0g
V2EX  ›  情感问题

我发现好多网络公司对自家网络安全不太重视

  •  
  •   wd0g · 2015-12-07 17:07:30 +08:00 · 430 次点击
    这是一个创建于 3308 天前的主题,其中的信息可能已经有所发展或是发生改变。

    9 月份发现重庆一家传媒网络公司的漏洞,直接上传 GetShell

    随之联系该公司负责人

    并告知我是如何发现漏洞并拿下 shell 的

    也问了对方负责人有没有什么现金奖励的东西

    但是通过对话发现,对方负责人(应该是个做产品的)觉得我是在敲诈

    于是之后我也没联系该公司

    过了几天,这个负责人 QQ 上发消息说:
    只要你能让网站出问题,我们就给你奖励

    我随即给该负责人打电话,并询问该负责人在 QQ 上说的是否属实

    如果我让你们网站出任何问题是否不会负责

    估计这个负责人觉得我不是吹牛的

    就拉了一个 PHP 程序员和我交流

    于是我又重复了一遍我是如何发现漏洞并拿下权限的

    程序员听了,还是不相信.就让我在网站上挂一个页面

    于是我在根目录下面创建了一个 TXT

    程序员觉得我不是吹牛后,就告诉了这个负责人该漏洞的危害性

    于是,我又重问之前的事情,是否让你们网站出问题就可以得到现金奖励

    程序员对我说:
    首先我们感谢你为我们公司报告漏洞,如果你在不损害我司利益的前提下报告,漏洞报给我司.我们会在公司讨论下给予你奖励的问题.因为之前我们也没有遇到过这种情况
    如果你用你发下的漏洞损害了我司的利益,那这件事情就得另当别论了

    然后程序员说让我把漏洞细节发给他们看,第二天 12 点之前联系我

    第二天 12 点过后发现程序员并没有给我打电话

    我便打电话过去询问循环程序员为什么不在约定的时候给我打电话

    程序员呼吁一下后,便说让他们技术部负责人(下面统称该负责人为 A)和我说

    和 A 聊了一会,A 让我去他们公司聊,于是第二天我到了他们公司和 A 聊

    到了会议室,A 直接说问我要多少

    我:
    这和你们公司对安全重视的程度挂钩的,之前我在其他漏洞平台提交和该漏洞齐平的漏洞.
    平台会给我****RMB

    A:
    这有点高啊,因为我们这里有没有先例.这个得和公司内部谈论之后才可以给你答复

    我:
    你觉得这个漏洞严重吗?

    A:
    因为我们重要数据主要在 union 域名下,该服务器下并没有什么重要的数据......

    我:
    所以你们对漏洞的危害性,是通过漏洞影响数据的重要性来标准的?
    我发现该服务器下可以直接连到 union 服务器下的数据库!

    又是一阵和 A 的讨论后

    A 让我先回去,关于奖励的事情.他们必须经过内部讨论后在给我答复

    我问 A 大概多久得到消息,A 说一周后

    于是我便回家了

    如大家期待一周以后我也没得该技术部负责人的任何消息

    我也没打电话去问该负责人,于是此事就这么结束了.

    这件事情我没搞明白的有下面两个点:
    1:贵司相关负责人说到的事情,没有做到
    2:为什么不给予漏洞报告人一定的奖励(对双方都是有好处的事情)

    21 条回复    2015-12-08 23:35:24 +08:00
    heiybb
        1
    heiybb  
       2015-12-07 17:14:24 +08:00
    所以啊,对于这种 2 货都是直接扔给黑产收拾就好了
    Luzifer
        2
    Luzifer  
       2015-12-07 17:18:34 +08:00
    兄弟,你这样真的好危险!!! 小心真把你扔局子里去了。

    所以有了乌云这样的第三方。吓人。

    话说 “情感问题” 是咋回事?
    init
        3
    init  
       2015-12-07 17:20:32 +08:00
    肯定不会给你钱咯 毕竟是公司啊 拖过来拖过去的,你也没办法,一旦有事情第一个怀疑的就是你
    Luzifer
        4
    Luzifer  
       2015-12-07 17:20:46 +08:00
    问对方要现金奖励,你也真是牛逼~
    wd0g
        5
    wd0g  
    OP
       2015-12-07 17:22:01 +08:00
    @Luzifer 我没有做任何损害贵司利益的事情,我也没有把该漏洞公布到网上
    情感问题是因为我对这家公司不会再爱了
    wd0g
        6
    wd0g  
    OP
       2015-12-07 17:23:39 +08:00
    @Luzifer 给予白帽子现金奖励是对双方都友好的事情,我花时间给你找漏洞,你给我一定的报酬我觉得没错.
    不过我没有强求任何公司必须给我什么东西.之前找到漏洞,联系他们的负责人都谈的很愉快
    Luzifer
        7
    Luzifer  
       2015-12-07 17:23:51 +08:00
    @wd0g 你已经入侵既成事实了啊。。。
    wd0g
        8
    wd0g  
    OP
       2015-12-07 17:24:54 +08:00
    @Luzifer 恩,应该算是吧,我也没看过相关的法律,只觉得身正不怕影子歪
    wd0g
        9
    wd0g  
    OP
       2015-12-07 17:25:35 +08:00
    @init 我之前找过好多公司联系过,都是给予现金奖励,或者发礼物
    Luzifer
        10
    Luzifer  
       2015-12-07 18:00:32 +08:00
    理是你这个理,就怕他提法律~~

    我意思是你胆子大了些~~

    公司 没授权 没授权 没授权 你做安全测试 。。。身正不怕影子歪--这里也不适用啊~~~

    万一对方让你在网站上挂一个页面,是为了钓鱼抓你,你。。。还在根目录下面创建了一个 TXT

    o.O

    还是小心些吧。
    wd0g
        11
    wd0g  
    OP
       2015-12-07 18:53:06 +08:00
    @Luzifer ...我选择死亡
    kittyoung
        12
    kittyoung  
       2015-12-07 19:21:36 +08:00 via iPhone
    奖励不是这么要的 涉世未深 不要太单纯了
    你以为付出就要有回报 看起来你还很讲诚信守时
    我就不多说了😔
    fetich
        13
    fetich  
       2015-12-08 02:17:47 +08:00
    「贵司」一词让我误以为 V2EX 有漏洞了……

    楼主以后还是要小心为好,类似这样的通话最好留录音。
    adminsb
        14
    adminsb  
       2015-12-08 13:00:24 +08:00
    你是西狗?灰帽群的?
    Explorare
        15
    Explorare  
       2015-12-08 14:25:56 +08:00
    图样啊,还不如丢给黑产,换点零花钱。
    wd0g
        16
    wd0g  
    OP
       2015-12-08 18:31:32 +08:00
    @adminsb 嗯啊,你是?
    wd0g
        17
    wd0g  
    OP
       2015-12-08 18:32:38 +08:00
    @fetich 录音的,留一手
    adminsb
        18
    adminsb  
       2015-12-08 20:32:04 +08:00
    你猜我是谁
    adminsb
        19
    adminsb  
       2015-12-08 20:32:15 +08:00
    我是你静默师傅
    wd0g
        20
    wd0g  
    OP
       2015-12-08 23:07:41 +08:00
    @adminsb 你不是啊,我问了静默,你到底是谁?
    adminsb
        21
    adminsb  
       2015-12-08 23:35:24 +08:00
    我是你蚂蚁师傅
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2734 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 05:52 · PVG 13:52 · LAX 21:52 · JFK 00:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.