收到邮件说检测到我们网站有 bug，该怎么处理。大家有收到类似的吗？ - V2EX

收到邮件说检测到我们网站有 bug，该怎么处理。大家有收到类似的吗？ - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 2482 天前的主题，其中的信息可能已经有所发展或是发生改变。

邮件主题：big vulnerability on your website - there are x hole
邮件内容：
Hi,I am Independent Security Researcher .Found very big Security Vulnerability (Bug) in your system and it can cause damage your website so may i report here ? i can read all databases,can control and change everything,all your user informations,documents,everything. is there any appreciation reward for valid report/bug ?

Kindly response as soon as possible :)

(i didnt touch or download anything)

Your Databases List;

web application technology: xxx

back-end DBMS: MySQL > xxx

available databases [xx]:

[*] xx

[*] xx

17 条回复 2019-03-25 16:17:04 +08:00

1

xenme

2019-03-25 14:40:28 +08:00 via iPhone

垃圾邮件，删除举报加黑名单

2

hlwjia

PRO

2019-03-25 14:41:45 +08:00

如果属实，那可以适当报答一下啊

3

ioioioioioioi

OP

2019-03-25 15:07:53 +08:00

@hlwjia 这是勒索，还报答

4

winterx

2019-03-25 15:09:23 +08:00

不管是不是勒索，人家已经告诉你 SQL 注入了，你自己检查一下 SQL 日志跟数据库啊

5

ioioioioioioi

OP

2019-03-25 15:42:06 +08:00

@winterx 是看 nginx access log 的 request 吧？

6

simapple

2019-03-25 15:49:06 +08:00

看邮件描述的是不是真的

7

ioioioioioioi

OP

2019-03-25 15:51:46 +08:00

@simapple available databases 是对的

8

nosmile

2019-03-25 15:52:51 +08:00

下面数据库是不是你的你不知道吗，如果是真的，你不赶紧修复，修复好了，人家也说了“ is there any appreciation reward ”

9

co3site

2019-03-25 15:53:46 +08:00 via Android

只有我觉得这行文读起来想翻译过来的吗？

10

simapple

2019-03-25 15:55:05 +08:00

@ioioioioioioi 那可能真的有漏洞，有诚意的话回复要一些漏洞细节，确认了给点奖励，或者赶紧自查，找到漏洞修复

11

ioioioioioioi

OP

2019-03-25 15:57:16 +08:00

@nosmile 是真的，不然就当垃圾邮件了

12

ioioioioioioi

OP

2019-03-25 15:57:36 +08:00

@co3site 可能对方母语不是英语

13

lorryo

2019-03-25 16:06:06 +08:00

2

好像是 SQLMAP 跑出的结果，看一下数据库日志吧，赶紧修复吧。

另外人家只是问你有没有漏洞赏金而已，说勒索也太过了吧？

14

BCy66drFCvk1Ou87

2019-03-25 16:08:24 +08:00 via Android

下个 SQL 注入工具自己模拟扫描一下，有可能是很低级别的漏洞。

15

javashell

2019-03-25 16:09:33 +08:00 via Android

看样子是注入漏洞，发给你注入后获得你网站数据库的部分库名作为证明，当前紧要的是修复，然后可以参考世纪佳缘的做法 /手动狗头

16

hlwjia

PRO

2019-03-25 16:13:03 +08:00

hlwjia: 如果属实，那可以适当报答一下啊
ioioioioioioi: @hlwjia 这是勒索，还报答

我就把上面这两句对话留在这，各位看官自己判断吧。

无语，今天不骂人 :)

17

hlwjia

PRO

2019-03-25 16:17:04 +08:00

也就翻了一下楼主之前的发帖，我也就平静了

t/489619#reply68

关于帮助文档自助推广系统博客 API FAQ Solana 2246 人在线 最高记录 6679

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 26ms UTC 00:46 PVG 08:46 LAX 16:46 JFK 19:46
Do have faith in what you're doing.

ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86