【文末送:25届秋招信息表】
同源漏洞我不收
今天看到圈子里一个小哥发文说,自己1月份提交的src漏洞,直到今天还没过,最终被审核忽略。
审核给的理由是,你提交的漏洞和较早之前提交的漏洞重复了,所以被忽略。
并且还给了个定义叫同源同类漏洞只收集一例。
这个解释确实牵强了,如果不是一个人同时提交5个同一参数的漏洞,你给认定是同源漏洞,那别人去年提交的RCE,今年又测出来还有RCE那难道今年这个不算漏洞,理由是去年已经收到过了。
难道在审核眼里以前收过同样的漏洞以后再有这样的漏洞都不算了。
上报就下架功能
上报我就下架功能,然后你这漏洞就不存在,这种情况在SRC挖掘的时候也算是经常存在的事情了,你提交了,平台最后拒绝,最关键告诉你没有这个功能。
确实你再次访问,这个功能没有了,这你找谁说理呢?
为啥审核不认呢?
有幸早些年和某互联网的SRC审核聊过天,大概知道一些被审核拒绝的内幕。
1、类似同源漏洞,基本上就是业务不认,因为同样的漏洞已经出现过,现在又出现了同样的漏洞,业务上没法给领导交差,因此压着审核不让认。
2、类似漏洞上报了,但是功能点被下架了,这一点大概率这个系统没啥人维护了,或者属于影子资产,被发现后赶紧下架,大概率是资产管理问题,也会被审核不认。
3、最大概率是不会因为钱,因为公司既然做了SRC的预算,这钱发不发出去都不会落到审核口袋里,因此审核不会因为钱的问题压着漏洞不认的。
我在我的星球给大家整理了近期已经开始的网安方向的秋招信息:
ending
一个人走的很快,但一群人才能地的更远。吉祥同学学安全这个星球🔗成立了3个月左右,已经有300+的小伙伴了,如果你是网络安全的学生、想转行网络安全行业、需要网安相关的方案、ppt,戳链接🔗(内有优惠卷)快加入我们吧。系统性的知识库已经有:《Java代码审计》 ++《Web安全》++《应急响应》++《护网资料库》++《网安面试指南》
原文始发于微信公众号(吉祥学安全):漏洞不收,系统就安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论