吐槽一下字某SRC的神操作

admin 2024年2月26日22:12:49评论24 views字数 1258阅读4分11秒阅读模式

    之前很多人喷这个平台,我都觉得可能是对平台有误解,现在事情三番两次到我头上了,不吐不快,不要号了也要把这口气吐了。

为众人抱薪者 不可使其扼于风雪

起因

    是挖到字某SRC的一个SQL注入漏洞,提交一周后的今天得到的结果是“重复” (估计这一周其内部在想怎么降级或者忽略

然后我这边就去看了下网站给出的回复 

吐槽一下字某SRC的神操作

下图是我提交的注入点情况 

吐槽一下字某SRC的神操作

一个接口是 c1_x1_list ,另个接口是 x1_c1_list ,这算一个接口?同样一个注入参数是s1_c1? 一个参数是f1_c1

第一点:接口不同,注入参数不同,居然算我重复,且给出的重复的接口早就几个月前就已经修复了。

第二点:为避免出现状况,我是跟运营沟通后才提交的漏洞。在提交这个漏洞之前,字某SRC的对电商业务做了两次注入专项排查(延期了一次)然后排查期结束之后特意去问了下运营小姐姐,给出的答复是排查结束了,但是需要给出修复时间,然后去问了下修复时间说是2月初。 但在得到答复后于18号一交洞,就给出重复的结果。

吐槽一下字某SRC的神操作


一问字某SRC 专项排查完之后且修复完之后的漏洞是不是全都能接收,还是说业务修复不了?那样可以提前说,我们也可以等他修完再去交,但是修复完了还说重复是不是说这个业务能力有问题, 在指定时间内修复不了漏洞。

二问字某SRC在确定了我的漏洞有效之后,里面给了120分的“高分“漏洞积分,且没有任何理由说明,对此我觉得挺搞笑的,你一个抖X商家有多少用户多少商家就不说了,找到个注入如果确认了就以没有敏感信息为由降级,那你抖x怎么还不倒闭,数据库都没有敏感信息。而且给的回复是 

吐槽一下字某SRC的神操作

吐槽一下字某SRC的神操作

但是我从注入点返回的信息中能看到有咨询的聊天记录等信息,你审核凭什么说里面没有敏感信息,之前降级的漏洞有多少又是被“下的漏洞。 

吐槽一下字某SRC的神操作

吐槽一下字某SRC的神操作

三问字某SRC,到底要不要遵守规则呢?在去年的10月份同样也挖到了一个抖X商家的注入,但是提交完之后立马就被忽略了,审核给的回复是需要读取表里面的内容。(因为我已经无条件出了数据库+user的数据)但是字某SRC给的规则是“注入漏洞严禁读取表内数据,对于UPDATEDELETEINSERT 等注入类型,不允许使用自动化工具进行测试。(对于可能改变表数据的,需要提前报备。) “在完全遵守规则测试的情况,我在跟运营小姐姐提出申诉的时候,强调了一下测试规则并强调了如果真去读数据在法律上的风险。一顿battle之后审核师傅立马通过,并给了降级常规操作了哈你只要不读数据我就给你降级说没数据,你读了,嘿嘿),主要是我也真不敢去读数据,万一出点啥事一家老小怎么办。

 吐槽一下字某SRC的神操作

吐槽一下字某SRC的神操作

吐槽一下字某SRC的神操作

    最后一个还有点疑惑。之前在挖火某引擎的时候,洞是下午4点交的,审核是下午5点忽略的,然后理由是重复。给出的内部工单是凌晨5点多被扫出来的漏洞。之前也跟一些师傅聊过,说字某SRC有流量工具,识别到注入啥的攻击,内部就会自动创建工单,然后创建工单的服务器时间可能早一些之类的话吧。俺也不知道,清者自清,愿大家都被温柔对待。


原文始发于微信公众号(5号黯区):吐槽一下字某SRC的神操作

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月26日22:12:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   吐槽一下字某SRC的神操作http://cn-sec.com/archives/2527080.html

发表评论

匿名网友 填写信息