这是一个创建于 2222 天前的主题,其中的信息可能已经有所发展或是发生改变。
近日他们拨打电话过来,说我们开发的系统有漏洞,上他们网站一查,原来是爬取的 github 里面的 issue,一个人提交的 csrf 漏洞,而且还是后台的漏洞,程序本身是开源的。 我打电话反馈,说没有这个漏洞,叫他们把信息删了,他们说要检查下,几个小时后回电,叫我们去他们公司研讨如何解决这类问题的方案。 不太理解他们这一手什么套路,感觉事情不太简单。。。(漏洞不是他们自己找的,是爬取别人的,放到官网) 有没有经历过的软件公司来说说怎么回事?
他们网站地址( http://www.cnnvd.org.cn/)
 | 1 eGlhb2Jhb2Jhbw 2019-12-03 17:35:38 +08:00 他们网站没有 HTTPS,你也在你们官网挂他丫的(逃 |
 | 2 xiaotuzi OP @eGlhb2Jhb2Jhbw 他这个网站域名很像这个: https://www.cnvd.org.cn 这个是国家的。所以我心存疑惑 |
 | 3 learnshare 2019-12-03 17:44:34 +08:00 |
| 4 eGlhb2Jhb2Jhbw 2019-12-03 17:47:51 +08:00 @learnshare #3 233333 看得我他娘的笑尿了。 (可以利用用户对其的信任展开攻击:黑客可以通过购买传输层安全性( Transport Layer Security,简称 TLS )证书,使其假网站上的流量被加密,并成功诱骗浏览器。在浏览器误将该网站标为安全网站后,黑客将得以进行网络钓鱼攻击。) 不知道黑客能不能买到 he 弹的发射密码。 |
| 5 eGlhb2Jhb2Jhbw 2019-12-03 17:50:20 +08:00 @eGlhb2Jhb2Jhbw #4 尴尬,看错了,是给钓鱼网站上 https (再次逃 |
| 6 learnshare 2019-12-03 17:51:22 +08:00 @eGlhb2Jhb2Jhbw 这网站的套路以及转载文章的操作,基本能看出来赚钱的手段了 |
| 7 eGlhb2Jhb2Jhbw 2019-12-03 17:54:39 +08:00 @learnshare #6 查了下 whois,感觉信息还算靠谱,就是不知道是不是借了个 org 的壳子。 |
 | 8 virusdefender 2019-12-03 17:55:59 +08:00 打过一些交道,让你去他们单位?可以问下地址,看看是不是上地那个 |
| 9 eGlhb2Jhb2Jhbw 2019-12-03 18:01:12 +08:00 |
| 10 xiaotuzi OP @virusdefender 他说的就是网站上挂的那个地址,但是我有点搞不懂这个,他们本身没有技术去找漏洞,反而是拿别人的找的漏洞挂网站上,还通知我们有人投漏洞在他们网站,套路有点深。 |
| 11 virusdefender 2019-12-03 18:04:36 +08:00 @xiaotuzi 有可能是 https://www.cnvd.org.cn/ 通报的,话说 csrf 如果在后台会有更大危害吧 |
| 12 xiaotuzi OP @virusdefender 是进入后台才有这个 csrf。。。问题是后台账号就只有管理员才有啊,如果没有管理员账户就没办法爆出这个问题。 |
 | 14 PHPer233 2019-12-03 19:02:23 +08:00 via Android 这是一个国家级信息安全测评机构,属于事业单位,没有行政执法权,不必管他的漏洞通报。但为了保证自身业务安全,也不要掉以轻心,要认真核实漏洞情况。 |
 | 16 molvqingtai 2019-12-04 00:15:34 +08:00 via Android 信息安全机构我懂,但叫你去他们公司是什么操作 |
| 17 virusdefender 2019-12-04 10:44:01 +08:00 @xiaotuzi csrf 和你进没进后台没关系吧,只要请求能发给你就行,要不你发我下漏洞详情看看? |
 | 18 scukmh 2019-12-04 10:48:12 +08:00 不需要进后台。( |
 | 19 victoryss 2019-12-05 14:10:38 +08:00 |
 | 20 julyclyde 2019-12-06 11:22:04 +08:00 国家级管安全的是 https://www.cert.org.cn/ |
Select Language