近日他们拨打电话过来,说我们开发的系统有漏洞,上他们网站一查,原来是爬取的 github 里面的 issue,一个人提交的 csrf 漏洞,而且还是后台的漏洞,程序本身是开源的。 我打电话反馈,说没有这个漏洞,叫他们把信息删了,他们说要检查下,几个小时后回电,叫我们去他们公司研讨如何解决这类问题的方案。 不太理解他们这一手什么套路,感觉事情不太简单。。。(漏洞不是他们自己找的,是爬取别人的,放到官网) 有没有经历过的软件公司来说说怎么回事?
他们网站地址( http://www.cnnvd.org.cn/)
 | 1 catning Dec 3, 2019 他们网站没有 HTTPS,你也在你们官网挂他丫的(逃 |
 | 2 xiaotuzi OP @eGlhb2Jhb2Jhbw 他这个网站域名很像这个: https://www.cnvd.org.cn 这个是国家的。所以我心存疑惑 |
 | 3 learnshare Dec 3, 2019 |
| 4 catning Dec 3, 2019 @learnshare #3 233333 看得我他娘的笑尿了。 (可以利用用户对其的信任展开攻击:黑客可以通过购买传输层安全性( Transport Layer Security,简称 TLS )证书,使其假网站上的流量被加密,并成功诱骗浏览器。在浏览器误将该网站标为安全网站后,黑客将得以进行网络钓鱼攻击。) 不知道黑客能不能买到 he 弹的发射密码。 |
| 5 catning Dec 3, 2019 @eGlhb2Jhb2Jhbw #4 尴尬,看错了,是给钓鱼网站上 https (再次逃 |
| 6 learnshare Dec 3, 2019 @eGlhb2Jhb2Jhbw 这网站的套路以及转载文章的操作,基本能看出来赚钱的手段了 |
| 7 catning Dec 3, 2019 @learnshare #6 查了下 whois,感觉信息还算靠谱,就是不知道是不是借了个 org 的壳子。 |
| 9 catning Dec 3, 2019 |
| 10 xiaotuzi OP @virusdefender 他说的就是网站上挂的那个地址,但是我有点搞不懂这个,他们本身没有技术去找漏洞,反而是拿别人的找的漏洞挂网站上,还通知我们有人投漏洞在他们网站,套路有点深。 |
| 11 virusdefender Dec 3, 2019 @xiaotuzi 有可能是 https://www.cnvd.org.cn/ 通报的,话说 csrf 如果在后台会有更大危害吧 |
| 12 xiaotuzi OP @virusdefender 是进入后台才有这个 csrf。。。问题是后台账号就只有管理员才有啊,如果没有管理员账户就没办法爆出这个问题。 |
 | 14 PHPer233 Dec 3, 2019 via Android 这是一个国家级信息安全测评机构,属于事业单位,没有行政执法权,不必管他的漏洞通报。但为了保证自身业务安全,也不要掉以轻心,要认真核实漏洞情况。 |
 | 16 molvqingtai Dec 4, 2019 via Android 信息安全机构我懂,但叫你去他们公司是什么操作 |
| 17 virusdefender Dec 4, 2019 @xiaotuzi csrf 和你进没进后台没关系吧,只要请求能发给你就行,要不你发我下漏洞详情看看? |
 | 18 scukmh Dec 4, 2019 不需要进后台。( |
 | 19 victoryss Dec 5, 2019 |
 | 20 julyclyde Dec 6, 2019 国家级管安全的是 https://www.cert.org.cn/ |
Select Language