之前很多人喷这个平台,我都觉得可能是对平台有误解,现在事情三番两次到我头上了,不吐不快,不要号了也要把这口气吐了。
“为众人抱薪者 不可使其扼于风雪“
起因
是挖到字某SRC的一个SQL注入漏洞,提交一周后的今天得到的结果是“重复” (估计这一周其内部在想怎么降级或者忽略)
然后我这边就去看了下网站给出的回复
下图是我提交的注入点情况:
一个接口是 c1_x1_list ,另一个接口是 x1_c1_list ,这算一个接口?同样的一个注入参数是s1_c1? 一个参数是f1_c1。
第一点:接口不同,注入参数不同,居然算我重复,且给出的重复的接口早就几个月前就已经修复了。
第二点:为避免出现状况,我是跟运营沟通后才提交的漏洞。在提交这个漏洞之前,字某SRC的对电商业务做了两次注入专项排查(延期了一次)然后排查期结束之后特意去问了下运营小姐姐,给出的答复是排查结束了,但是需要给出修复时间,然后去问了下修复时间说是2月初。 但在得到答复后于18号一交洞,就给出重复的结果。
一问字某SRC 专项排查完之后且修复完之后的漏洞是不是全都能接收,还是说业务修复不了?那样可以提前说,我们也可以等他修完再去交,但是修复完了还说重复是不是说这个业务能力有问题, 在指定时间内修复不了漏洞。
二问字某SRC在确定了我的漏洞有效之后,里面给了120分的“高分“漏洞积分,且没有任何理由说明,对此我觉得挺搞笑的,你一个抖X商家有多少用户多少商家就不说了,找到个注入如果确认了就以没有敏感信息为由降级,那你抖x怎么还不倒闭,数据库都没有敏感信息。而且给的回复是
但是我从注入点返回的信息中能看到有咨询的聊天记录等信息,你审核凭什么说里面没有敏感信息,之前降级的漏洞有多少又是被“黑“下的漏洞。
三问字某SRC,到底要不要遵守规则呢?在去年的10月份同样也挖到了一个抖X商家的注入,但是提交完之后立马就被忽略了,审核给的回复是需要读取表里面的内容。(因为我已经无条件出了数据库+user的数据)但是字某SRC给的规则是“注入漏洞严禁读取表内数据,对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。(对于可能改变表数据的,需要提前报备。) “在完全遵守规则测试的情况,我在跟运营小姐姐提出申诉的时候,强调了一下测试规则并强调了如果真去读数据在法律上的风险。一顿battle之后审核师傅立马通过,并给了降级(常规操作了哈,你只要不读数据我就给你降级说没数据,你读了,嘿嘿),主要是我也真不敢去读数据,万一出点啥事一家老小怎么办。
最后一个还有点疑惑。之前在挖火某引擎的时候,洞是下午4点交的,审核是下午5点忽略的,然后理由是重复。给出的内部工单是凌晨5点多被扫出来的漏洞。之前也跟一些师傅聊过,说字某SRC有流量工具,识别到注入啥的攻击,内部就会自动创建工单,然后创建工单的服务器时间可能早一些之类的话吧。俺也不知道,清者自清,愿大家都被温柔对待。
原文始发于微信公众号(5号黯区):吐槽一下字某SRC的神操作
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论