这是一个创建于 4021 天前的主题,其中的信息可能已经有所发展或是发生改变。
V2的白帽可以去试试了。
 | 1 lincanbin 2014-12-28 11:50:37 +08:00 悬赏金多少万? |
 | 2 welsmann 2014-12-28 11:51:47 +08:00 五亿 : 两千 |
 | 3 xatest 2014-12-28 11:54:06 +08:00 via iPad  3 一个众所周知的漏洞:自签名证书可以进行中间人攻击~请问拿奖金要联系谁? |
 | 5 bluu 2014-12-28 12:18:07 +08:00 这个自签名的证书,一个恶意的手机应用就很容易在手机上截获所有通讯信息 |
 | 6 icedx 2014-12-28 12:28:08 +08:00 2万还可以 |
 | 7 Quaintjade 2014-12-28 12:55:15 +08:00 via Android @bluu 说很容易不恰当。自签证书私钥未泄漏时,本身是安全的。 自签证书风险之一是私钥保管不善导致泄漏。之二是,访问者知道它用的是自签,首次访问会去安装根证书,中间人可以在此时替换根证书,从而导致本机的证书体系失效;或者因为是自签,所以必须无视安全警告,从而无法判断12306网站的真伪。 |
 | 8 luo362722353 2014-12-28 12:56:39 +08:00 via iPhone 每次弹出证书不信任的时候挺烦的…@bluu |
 | 9 DreaMQ 2014-12-28 13:38:02 +08:00 我觉得两万都不太够 |
 | 10 rockpine 2014-12-28 13:46:24 +08:00 已经设置为最高奖励一千了 看到一个“带头大哥”的,轻轻松就拿了三四千,估计是漏洞太多,铁道研究院不得不降低奖励的金额 |
 | 11 hggg OP 最高好像2000! |
 | 12 14 2014-12-28 16:36:49 +08:00 |
 | 13 typcn 2014-12-28 16:45:04 +08:00  |
 | 14 harrysummer 2014-12-28 16:58:38 +08:00 那个带头大哥真乃神人也! |
| 15 hggg OP @harrysummer 提交可真多~ |
 | 17 xierch 2014-12-28 19:48:20 +08:00 它要求用户下载并导入根证书, 问题是那个根证书的下载页面、下载链接都是 plain HTTP.. 要确保这方面万无一失,还是得全站 HTTPS 加上 HSTS,再提交给浏览器厂商。 不然也就只能要求用户少用公共 Wi-Fi 啊什么的降低些许风险了.. |
| 18 bluu 2014-12-28 21:10:33 +08:00 没有内置根证书的话,通讯被截获的风险是100% |
 | 19 crs0910 2014-12-28 22:29:03 +08:00 那个带头大哥应该不是一个人吧?一天提交不同网站那么多漏洞。。。。吓哭 |
 | 20 WLW 2014-12-28 22:31:19 +08:00 带头大哥 = 佚名 |
 | 22 jimmy 2014-12-29 09:36:29 +08:00 昨天看到的是2000,我就在想,这2000领了,是不是也得以某种zui名吃牢饭呢? |
Select Language