今天刷到一个瓜,某个白帽子参加了某SRC的专项漏洞活动,这个活动也非常专业哈!
一些主流大厂比如美团、腾讯、阿里这些大型SRC举办过此类似活动。
般来说,举办这类专项活动的厂商其实偏少,但通常都有一个非常明显的特征:
主办厂商会为本次活动准备非常充裕的资金支持,目的就是聚焦挖出真正有危害的漏洞,并配备专业的漏洞审核人员,全方位保障活动的顺利推进。
结果这位白帽子自以为是,完全没搞清楚本次活动“背后”的定位和规则,就擅自主张以为和其他活动大差不差,结果干了件蠢事。
事情搞砸之后,还跑到 SRC 群里哭,让大家看笑话。
两个字“愚蠢”,四个字“愚不可及”,最后再来两个字“废物”
1.熬夜通宵挖漏洞,你是把SRC当你家开是吧,在没有明确清楚回报率的情况下去熬夜挖漏洞,用自己的宝贵的身体健康做牺牲,现在来群里哭,就那点奖金还不够你去医院看病,纯SB行为。
2.花时间去破解人家的前端加密算法? 又是调试,又是脱壳,估计眼睛不好受吧,但没卵用,往重来说,你这就是可能涉嫌破坏计算机信息系统罪?
3.跟不懂安全的人讲解漏洞类型,吃力不讨好,自以为自己很明白越权和逻辑漏洞的区别,想让别人也明白,只有没脑子的人才会认为自己可以说服一个自认为前端加密可以解决后端漏洞的人。
4.最后,最让我觉得这个白帽子无语的地方在哪里呢,让我忍不住骂他呢,就是一下子打包了6个高危、严重漏洞,以为好不容易来一次专项活动,把活一次整齐了。
这提交的时候真的不是带脑子的,真以为SRC是来做公益给大家发钱是吧。
白帽子是不是觉得自己辛辛苦苦挖了那么多漏洞,同时,心中正义感爆棚:
我一定要立刻上报所有安全问题,甚至顶着被全部忽略的风险,也要摁住自己的小脑,必须把漏洞全部提交了,杜绝给别人利用可能性。
我要是SRC看到这种“SB”白帽子给我提交这类漏洞,真的是忍不住,直接一键忽略+修复,最后来个“内部已知”。
PS.目前我的水平和良心还当不了审核,以后会提高的,希望有甲方可以收留我。
如果我是一个审核,面对这种情况,后续可能会这样做:
本次专项活动支出经费为0,成果发现6个已知高危、严重问题并已完成修复
不为别的,就为了羞辱这些SB白帽子,真以为自己挖了几个漏洞,就以为掌握了企业的安全密码了是吧。
如果这个白帽子还敢过来跟我急,以后,我就在行业封杀“他”,他这辈子别想也不配来我甲方“混”日子了。
最后说一下,如果我是审核,面对这种情况,喜欢白帽子提交漏洞的一些行为:
1.首先6个高危严重漏洞,建议分开提交,一个个来,保持住耐心,先给个严重的先,这样我作为审核看到心里也好受点,大脑也保持清醒,容易分清楚漏洞是什么玩意。
2.漏洞危害证明一定要写一个工具来证明,不要让我去复现你这种加密的复杂东西,你这是增加我的工作量,质疑我审核的能力?我能个你好脸色?
麻烦给我一个傻瓜化的工具,同时记得留一个密码,推荐是SBnmsl,然后录制一个完整的利用视频。
报告里面千万别鸡儿再秀你那个破解加密算法的过程,长篇大论一大堆,以为自己写的报告很详细,实则是耽误我阅读报告浪费我下班后的时间,我能给你好脸色?
原文始发于微信公众号(一个不正经的黑客):SRC凭什么要为“废物”白帽子的真实漏洞付费?
评论