白帽挖洞养家糊口:某厂300w条数据只值一碗猪脚饭
2023-5-31 20:13:4 Author: 虚拟尽头(查看原文) 阅读量:46 收藏

  “ 此公众号不再更新技术文,有瓜的可以来找我,一起吃瓜

本故事纯属虚构,如有雷同纯属巧合!虚构某大厂,我们白帽挖洞不易,但也不需要20块的猪脚饭打发,猪脚饭大城市20块还未必吃的到。
如果你认为是虚构事件那:

    某个风和日丽的下午,在某厂的src里挖呀挖呀挖,挖小小的漏洞,用大大的burp,挖大大的漏洞,挣20的猪脚饭。

  然后我就发现了一个逻辑漏洞,提交后,等啊等啊等,5天还没审核,去求审核帮忙审下,审核说好,14点55,审核跟我说:这个报告你有在平台上注册吗?业务反馈注册了的用户才能看到明文手机号?连忙秒回:没有注册也能看明文手机号。审核说:我来验证下。然后又是等啊等啊等,期间给他截图了报告内容打了大大的红色尖头。16点11找到了,漏洞可以复现了。一个小时验证一个逻辑漏洞,可能审核太忙了,可以理解。17点35,审核通过,20块钱的漏洞。

    赶紧看下了漏洞处理标准和评分标准,无用户交互,远程网络媒介,无前置条件,业务因素(功能重要程度审核说是边缘业务,影响条目巨量>100w,平台活跃用户基数大于1000)。

    这个洞泄漏手机号+姓某名+具体到某村的地址,为什么是低危?我无从得知。边缘业务有300万用户,难道你们觉得用户的信息危害不大吗?

    然后晚上20点35,重新定级为中危。25个安全币。我也不知道这个数字代表啥?毕竟我已经说了不需要定级了。结果给我来个25?对比下图,其实挺搞笑的

整个安全圈大环境所致吗???

    在这个src我只是一个新号,也是这1个月才开始挖src,是因为新人原因吗?还是啥原因?无从得知,真的很疼-啊。

   编辑完此文章后,审核发信息告知,服务宣传的300万用户,其实没有,那请问主页上面的数字是属于虚假宣传?真的很疼-啊。

    新一个洞又忽略了,普通用户和管理员用户分不清?报告写的清清楚楚明明白白,普通用户登陆后,越权查看所有用户资料。这给直接忽略?文你们审核都是实习的吗?又去问了另一个审核,看了下,回复好像是有点问题!!!如果都是实习审核,真的很疼-啊。


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxOTM1MTU0OQ==&mid=2247484992&idx=1&sn=f4fe44e33ccab07cb5d22afd3f09f4c1&chksm=c1a23fd2f6d5b6c452cf0ab3a5de4d54f8f61f94debb4b189dea1fa6561fd9226d911d14fb84#rd
如有侵权请联系:admin#unsafe.sh