酝酿了一些时间想在 github 上发布某视频监控产品的漏洞,或者说是设计流程安全缺陷————任意可重置管理员密码。但是对 github 不熟悉,英文也不好哈,不知道怎么填写~~ 本人高中学历,非程序员专业 /工作 https://ibb.co/CHztmS9
1
x86 2022-06-15 23:19:26 +08:00
我擦,这个好东西呀,坐等公开
|
2
dangyuluo 2022-06-15 23:20:44 +08:00
确定是设计缺陷么。。
|
4
quzard 2022-06-15 23:21:18 +08:00 via iPhone
这不太道德吧,如果被人拿去滥用了话,建议还是告诉厂商修复吧
|
5
darkengine 2022-06-15 23:21:27 +08:00
建议先打电话给厂家
|
6
crab 2022-06-15 23:21:33 +08:00
官方网站不是有上报渠道吗
|
7
Chaconne OP @dangyuluo 是的,去年电话反馈过,他们的意思是:民用 /家庭级的产品就这样,大有“我们就不改了”,但是金融、能源行业用的产品不按这套流程走,比较安全
|
9
Chaconne OP @darkengine 详见我刚回复另一兄 dei 的
|
10
hs0000t 2022-06-15 23:37:27 +08:00 via Android 6
一句话 保护好隐私
关键词乌云 世纪佳缘 |
12
Les1ie 2022-06-16 01:02:14 +08:00 6
如果厂商不管的话,推荐的流程是报给 CNVD ,由上级去推动厂商修复漏洞,还可以奖励你一个证书 :)
https://www.cnvd.org.cn/ 你已经联系厂商了,厂商不受理,按理说你这已经是负责任的漏洞披露流程了,可以在其他平台公开这个漏洞。 但是,我个人不建议直接公开这个漏洞,毕竟如果漏洞影响面比较大,那么受影响的是普通用户,不如让漏洞一直存在下去吧,知道的人越少越好。 老产品存在不被修复的漏洞是很普遍的,只要不被发现、不被公开,影响还是比全网公开更小的。 |
13
chendy 2022-06-16 07:56:06 +08:00
公开了之后厂商怎么样不好说
普通用户可能就遭殃了 |
14
flyqie 2022-06-16 08:13:33 +08:00 via Android 4
如果你有临时修补方案,请谨慎公开漏洞细节和 POC ,因为某些用户可能无法及时了解到该信息并予以修补。
如果你没有临时修补方案,请永远不要公开漏洞细节和 POC ,厂商不负责任不代表用户需要承担因你而造成的风险。 一旦公开漏洞细节和 POC ,该漏洞的利用门槛将显著降低。 前几楼老哥已经发了相关地址了,建议向上级反馈推动厂商积极性。 感谢你做出的努力。 |
15
darkengine 2022-06-16 08:43:58 +08:00
要么向相关部门报备,不然到时候公布了造成损失厂家还倒打一耙
|
16
czfy 2022-06-16 10:09:40 +08:00
以前还有乌云,现在毛都没有了
|
17
tuutoo 2022-06-16 10:10:07 +08:00
建议直接联系厂家试试 说不定给你奖励呢
发 github 有啥好处 还可能被有居心的人拿去滥用. |
19
q1angch0u 2022-06-16 10:19:20 +08:00 via iPhone
网络安全法关注一下…小心别进去了
|
20
iTakeo 2022-06-16 11:20:19 +08:00
别人能重置密码?家里两台萤石的。说的有点担心了啊
|
21
baobao1270 2022-06-16 11:46:26 +08:00 2
建议虚拟机操作,TOR 注册 github 小号,该账号用后即弃。
|
22
jackma0571 2022-06-16 15:27:39 +08:00
怎么操作,捅设备上的 reset 孔?
|
23
lance86 2022-06-16 17:41:24 +08:00
不知道这个漏洞会不会被大规模的远程利用。如果可以远程利用,普通用户要遭殃。
主要是就算厂商修复了,绝大多数普通用户还是得不到通知,或者知道了也不会去修复。 另外说一句厂商对自己的 bug 是这种态度,就是在助长黑产。 |
24
Jooooooooo 2022-06-16 19:00:50 +08:00
这么说吧, 这是违法的.
|
25
mritd 2022-06-16 20:05:03 +08:00 via iPhone
兄弟 今天有个哥们跟你一样,也是被深信服反手就给搞了,慎重啊
|