近日他们拨打电话过来,说我们开发的系统有漏洞,上他们网站一查,原来是爬取的 github 里面的 issue,一个人提交的 csrf 漏洞,而且还是后台的漏洞,程序本身是开源的。 我打电话反馈,说没有这个漏洞,叫他们把信息删了,他们说要检查下,几个小时后回电,叫我们去他们公司研讨如何解决这类问题的方案。 不太理解他们这一手什么套路,感觉事情不太简单。。。(漏洞不是他们自己找的,是爬取别人的,放到官网) 有没有经历过的软件公司来说说怎么回事?
他们网站地址( http://www.cnnvd.org.cn/)
 |
1
catning Dec 3, 2019
他们网站没有 HTTPS,你也在你们官网挂他丫的(逃
|
 |
2
xiaotuzi OP @eGlhb2Jhb2Jhbw 他这个网站域名很像这个: https://www.cnvd.org.cn 这个是国家的。所以我心存疑惑
|
 |
3
learnshare Dec 3, 2019
|
|
4
catning Dec 3, 2019
@learnshare #3 233333 看得我他娘的笑尿了。
(可以利用用户对其的信任展开攻击:黑客可以通过购买传输层安全性( Transport Layer Security,简称 TLS )证书,使其假网站上的流量被加密,并成功诱骗浏览器。在浏览器误将该网站标为安全网站后,黑客将得以进行网络钓鱼攻击。) 不知道黑客能不能买到 he 弹的发射密码。 |
|
5
catning Dec 3, 2019
@eGlhb2Jhb2Jhbw #4
尴尬,看错了,是给钓鱼网站上 https (再次逃 |
|
6
learnshare Dec 3, 2019
@eGlhb2Jhb2Jhbw 这网站的套路以及转载文章的操作,基本能看出来赚钱的手段了
|
|
7
catning Dec 3, 2019
@learnshare #6 查了下 whois,感觉信息还算靠谱,就是不知道是不是借了个 org 的壳子。
|
 |
8
virusdefender Dec 3, 2019
打过一些交道,让你去他们单位?可以问下地址,看看是不是上地那个
|
|
9
catning Dec 3, 2019
|
|
10
xiaotuzi OP @virusdefender 他说的就是网站上挂的那个地址,但是我有点搞不懂这个,他们本身没有技术去找漏洞,反而是拿别人的找的漏洞挂网站上,还通知我们有人投漏洞在他们网站,套路有点深。
|
|
11
virusdefender Dec 3, 2019
@xiaotuzi 有可能是 https://www.cnvd.org.cn/ 通报的,话说 csrf 如果在后台会有更大危害吧
|
|
12
xiaotuzi OP @virusdefender 是进入后台才有这个 csrf。。。问题是后台账号就只有管理员才有啊,如果没有管理员账户就没办法爆出这个问题。
|
 |
14
PHPer233 Dec 3, 2019 via Android
这是一个国家级信息安全测评机构,属于事业单位,没有行政执法权,不必管他的漏洞通报。但为了保证自身业务安全,也不要掉以轻心,要认真核实漏洞情况。
|
 |
16
molvqingtai Dec 4, 2019 via Android
信息安全机构我懂,但叫你去他们公司是什么操作
|
|
17
virusdefender Dec 4, 2019
@xiaotuzi csrf 和你进没进后台没关系吧,只要请求能发给你就行,要不你发我下漏洞详情看看?
|
 |
18
scukmh Dec 4, 2019
不需要进后台。(
|
 |
19
victoryss Dec 5, 2019
|
 |
20
julyclyde Dec 6, 2019
国家级管安全的是 https://www.cert.org.cn/
|
Select Language