src漏洞挖掘|一个谎言需要无数谎言来弥补
先說一下對事不對人。
?
參加雙11保衛(wèi)戰(zhàn)活動,針對活動我們發(fā)生的事情,而不是針對src
事情還得從6號提交菜鳥的漏洞說起。
提交了個漏洞因為怕不穩(wěn),把2個大洞打包提交了,然后19號收到消息內(nèi)部已知,內(nèi)部已知的聊天記錄也是說了下這個業(yè)務(wù)情況,說是灰度中。
?
?
然后我覺得從這個對話中好像是已經(jīng)修復(fù)了,
菜鳥那邊回答我說正在灰度,下周如果還可以復(fù)現(xiàn)那他們承認(rèn)這個漏洞,我想算了就這樣吧。
?
?
然后中間又提了2個洞。
一個是內(nèi)部已知,我去問的時候說是人工安全意識薄弱不屬于漏洞;
再有一個是不是菜鳥的業(yè)務(wù),他們雙十一保衛(wèi)戰(zhàn)的公告范圍寫錯了。
?
拜托我就想挖一個高危而已,這是干啥呢?
我覺得那老天都不幫我,我還測個啥呢,玩吧。
所以接下來的時候天天無限火力,不得不說無限火力真香。
就在昨天突然想到了上周的那句話如果還可以,我們還認(rèn)可的。
我尋思那試試唄,夢想不能沒有,萬一實現(xiàn)了呢?
于是就去問了一下上周的話還算數(shù)嗎,然后截圖給他告訴他還是可以復(fù)現(xiàn)的。
?
?
接下來居然問我是在小程序還是app,這個就尷尬了,難道當(dāng)初都不知道我這個漏洞問題在哪里就內(nèi)部已知了嗎。。
然后提交的2的打包漏洞只修復(fù)了其中一個,因為另一個比較隱蔽。接下來他打算自己復(fù)現(xiàn)一下是否還存在這個問題。而且再次說我們認(rèn)的。
這里給他點(diǎn)個贊,起碼當(dāng)時以他自己的想法是覺得應(yīng)該認(rèn)的。
?
?
然后經(jīng)過復(fù)現(xiàn)后他確認(rèn)了這個問題,于是就去和阿里說明了一下情況看看他們應(yīng)該怎么處理一下。
?
?
整個過程看下來就是內(nèi)部已知,然后承諾下周修復(fù),我去復(fù)現(xiàn)結(jié)果只修了一個明顯的地方就是我在報告中詳細(xì)寫的那個接口被修復(fù)了。
而我沒有寫的這個接口但是在漏洞報告中提到的這個并沒有修復(fù),中途也能看出來他們連app或者小程序哪個存在問題都分不清楚,到最后真的給我確認(rèn)了漏洞,然后。。。
?
?
日子還得過,我一個小人物也沒想過能對抗誰,以后漏洞該挖還得挖不是嗎。
但是請允許我作為一個打工人的抱怨,我還是想試試對抗一下這些不公。
最后,對事不對人。他的確是一直在幫我復(fù)現(xiàn)這個漏洞也承認(rèn)了,我相信我敗給的絕對不是個人,而是體系。
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯,堅持創(chuàng)作打卡瓜分現(xiàn)金大獎總結(jié)
以上是生活随笔為你收集整理的src漏洞挖掘|一个谎言需要无数谎言来弥补的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 记一次偶遇Adminer
- 下一篇: 记一次游戏私服getshell过程