就好像 到此一游 不写在课本上 大家都不知道 写上去后 反而大家都知道了 更容易被利用 有些漏洞不说出来大家都不会知道的 真的有自己去挖 正常完全用户受害 也不是谁天天都有时间关注 理性讨论吧 我这次受的影响不是太大 不管怎么说 直接公开漏洞会直接降低攻击者的攻击和学习成本
我在我的GitHub上挂了很多没有其他人发现的漏洞,我一般只写漏洞被利用之后的后果,但是一点源代码都不带。然后写上了我的联系方式让大厂来联系我,这样可以增加traction的同时得到曝光,并且得到有效联系人的及时联系
@g0ld #4 我以前在乌云上发了一个搜狐邮箱的csrf漏洞,就是,发封邮件给你,你只要一阅读,你的邮箱的密码就被改了 sohu当晚加班修复了这个漏洞,还给我快递过来了二只绒毛小狐狸。可惜,上次搬家时掉了。 漏洞在乌云上公布则是很多天后的事了。不过乌云本身也有问题,因为高权限的用户其实可以提前看到。
一般都是通知厂商修复,多少天以后再公布
这次人家哪吒已经修复了多久了,但mjj头铁不更新,我只能两个字,活该
应该先反馈给厂商修复
应该,没公开攻击者就会一直攻击,被攻击的还不知道为什么
而且还有最大的公开漏洞 CVE
开源的东西就算不公开也能看commit看出漏洞来吧,撑死就是先修复然后广播用户更新等个几天再披露POC
以前乌云不就是公开细节的么
我在我的GitHub上挂了很多没有其他人发现的漏洞,我一般只写漏洞被利用之后的后果,但是一点源代码都不带。然后写上了我的联系方式让大厂来联系我,这样可以增加traction的同时得到曝光,并且得到有效联系人的及时联系
因为只有公开时候那些不靠谱的才知道去更新,要不然总是拖
@陌生人 #5
不关注完全不知情其实
@g0ld #4 我以前在乌云上发了一个搜狐邮箱的csrf漏洞,就是,发封邮件给你,你只要一阅读,你的邮箱的密码就被改了
sohu当晚加班修复了这个漏洞,还给我快递过来了二只绒毛小狐狸。可惜,上次搬家时掉了。
漏洞在乌云上公布则是很多天后的事了。不过乌云本身也有问题,因为高权限的用户其实可以提前看到。
@陌生人 #9
乌云的公开机制是现在国内src都比不了了,那时候我还能在上面学到不少姿势。
现在人均藏着掖着,没意思了