设备监测日志≈“该漏洞内部已知”？记与某j大厂SRC的Battle~

    

    大家好，我是ATT4CK，一个安服小菜鸡，发这篇文章，只是觉得真的很意难平，也可能是我自己过分高估自己的漏洞等级，才有了下文中故事，文笔有限，篇幅可能有点长，请各位大佬耐心看完。

---

    首先，介绍下大致剧情，某天我在测试某厂SRC时，侥幸挖到一枚漏洞，因对处理结果十分诧异及疑惑，所以在这里求助各位大佬进行评判，还请各位大佬、看客理性判定漏洞等级，不管持什么观点都可以，为了避嫌，大致描述漏洞危害，正常情况下，该功能点是只允许自己进入（类似共享屏幕），且进入时需要进入某种验证机制，但是，利用该漏洞可以任意进入正在共享的任意其他用户的共享的屏幕（只能进入正在共享的的屏幕，相当于私密的，其他人不能看），并能操作用户的音频设备监听用户的声音，用户量大致过百万（影响旗下某设备和其APP），且利用过程相对较为简单，提交后，某厂以“内部已知”为由，直接忽略，才有了后续的内容，结果真的令我无语。

    事情的经过是这样，在2023年的7.27日下午17:00左右向某jSRC，提交了一个漏洞，危害如上描述，然后7.28满怀期待的去平台看结果时，直接傻了眼 “该漏洞内部已知，感谢师傅提交~”，好吧，当时心里是有点持怀疑态度+不满的情绪的，就在评论的地方说查看内部已知证明的请求（当时确实有点情绪化），然后10点多联系上运营小姐姐（这里还是很感谢小姐姐的积极沟通，也很敬业，虽然没能解决，或者说没能达成一致），得知审核正好请假了，在飞机上，处于暂时无法联系状态，知道下午17点左右，运营小姐姐告诉我已经联系上了，且给了我一个答复，看到这个结果，我真的无语的很......

    结果就是出现了文章标题的一幕：

    1.大厂审核判定内部已知的原因：原因是他们的设备检测到我的测试请求日志（16:00-17:00左右的），于是乎，就成了内部已知，我想说，这不是耍流氓吗？你咋不说你打开测试报告看了眼，内部已知了？后续沟通再提及这事的时候，他们回复大致意思是，我们发现了那个日志，所以这个漏洞，严格来说是我们自己发现的~，我在晚于他们十几分钟之后交的（写漏洞报告），鉴于我对他们有点帮助，直接按我发现的处理，我就觉得挺有意思的~，设备监测日志≈“该漏洞内部已知”？？？？

下图是他们所谓的日志和工单~仔细看

    2.关于漏洞定级，该漏洞资产属于低危资产（高危6-7.5k、中210-350元），该漏洞的危害我在上文中已经简单描述，涉及旗下的某设备和其配套APP，总用户量在百万以上（实际未进行确切的数据查询，可能更多），只能说是对标某国外设备的产品，国内做这个的他们算是一家独大~，这漏洞给我了个中危（中危害分1级35积分，2级28积分），经过和一些朋友的咨询（其中也有一些业内的大佬，在此深表感谢~），普遍认为定级过低，我个人认为这洞最低也是个高危，但是人家某j根本不认同，说为了表示歉意，愿意给我件衣服和伴手礼（哎，好可怜），对于漏洞定级也只能这样，我说我不接受，也不要你们的礼物（此处气的真是牙疼~），然后直接给我发了28分~

    最后，希望各位大佬在遇到“内部已知”时能够大胆求证，祝天天挖严重~，该漏洞定级问题，欢迎各位说说自己的看法，在这里感谢图中的运营小姐姐，真的很负责~

    谢谢~，有不同看法的欢迎留言。

原文始发于微信公众号（重生信息安全）：设备监测日志≈“该漏洞内部已知”？记与某j大厂SRC的Battle~