V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tocherrygo
V2EX  ›  信息安全

现在国内做安全的都这么肆无忌惮吗?发现有漏洞就直接提交公布?

  •  
  •   tocherrygo · 2020-07-01 19:09:19 +08:00 · 22060 次点击
    这是一个创建于 1604 天前的主题,其中的信息可能已经有所发展或是发生改变。

    真是醉了,刚发布产品没多久就 tm 被通知有漏洞,客户看到都说什么不安全,难道开源真的没法搞了吗? 一点公德心都没有,造成损失找谁赔?

    有经验的朋友说一下,能否用法律途径获得赔偿。真被他们搞蒙了,不防黑客防这些人,太恶心了。(:з」∠)

    第 1 条附言  ·  2020-07-01 20:44:45 +08:00
    感谢大家参与。实则有人就针对我说的话,而觉得我说得过分,说我针对个人是不对的,我如果针对平台而言,我更加没有理由。平台我觉得是好的,所以我觉得是他个人行为。

    另外,不要想当然你当个啄木鸟人家就要感谢你,如果你是树,快结果实了,树被啄木鸟啄了个洞,导致果没了。你会是什么心态呢?莫要劝人大度

    相关法律有依据,不能随便公开漏洞,感谢网友提供

    我的观点还是这样:安全人员通知厂家并修复漏洞,再提交平台公开漏洞。

    还有那些所谓等问题出现了再发现就迟了这种,应对未知事件,不应该马后炮,我觉得平台没问题,协助解决才是最正确的处理方式。
    200 条回复    2020-09-17 11:37:15 +08:00
    1  2  
    lifeintools
        1
    lifeintools  
       2020-07-01 19:13:30 +08:00
    提交漏洞有奖励吧~ 发现漏洞 打补丁就可以。你和客户承诺售后 协商一下
    183387594
        2
    183387594  
       2020-07-01 19:14:48 +08:00   ❤️ 9
    难道要用你东西用出问题 再解决么
    Counter
        3
    Counter  
       2020-07-01 19:15:18 +08:00 via Android
    什么意思?没理解
    tocherrygo
        4
    tocherrygo  
    OP
       2020-07-01 19:16:52 +08:00   ❤️ 1
    @lifeintools 直接发布了,通过别的平台公布知道的,这难道没有侵犯我们的权益吗?
    est
        5
    est  
       2020-07-01 19:16:57 +08:00
    说不定客户请的渗透测试来砍价。
    ferock
        6
    ferock  
       2020-07-01 19:17:41 +08:00   ❤️ 2
    @Counter #3
    意思就是,应该先通知作者,而不是在公共平台上公开发布。
    后半段就比较恶心了,“难道要用你东西用出问题 再解决么” +1
    est
        7
    est  
       2020-07-01 19:17:49 +08:00
    其实讲道理,未授权的渗透测试告一个一个准。挂靠党政军的更是。直接跨省提人。敢公布一般都是实名制,能查到
    tocherrygo
        8
    tocherrygo  
    OP
       2020-07-01 19:18:55 +08:00
    @183387594 那公布了造成损失谁负责呢?协商都没有,直接发布。而且安全圈子各种平台,只要出现有就全网覆盖。
    tocherrygo
        9
    tocherrygo  
    OP
       2020-07-01 19:20:35 +08:00
    @est 真的吗?我改天就找律师,好多同行都是被他们搞怕了,本来开源都加密文件了。
    yukiww233
        10
    yukiww233  
       2020-07-01 19:21:07 +08:00   ❤️ 89
    我开始明白为什么国内乌云做不下去了
    Jooooooooo
        11
    Jooooooooo  
       2020-07-01 19:21:10 +08:00
    你研究下乌云怎么倒闭的, 原装操作
    Ultraman
        12
    Ultraman  
       2020-07-01 19:22:13 +08:00 via Android   ❤️ 7
    直接提交第三方的可能也是担心碰上世纪佳缘那一出?
    est
        13
    est  
       2020-07-01 19:22:48 +08:00   ❤️ 2
    @yukiww233 乌云也有时间轴的。向厂商反馈更新是必须做的一个步骤
    Akkuman
        14
    Akkuman  
       2020-07-01 19:22:57 +08:00 via Android
    @est 好像并不是未授权,他说是开源,开源白盒挖洞不就行了
    tocherrygo
        15
    tocherrygo  
    OP
       2020-07-01 19:23:13 +08:00   ❤️ 3
    @ferock 讲道理,不应该是厂家修复后再公布吗?他通知厂家,修复完,他公布,这个其实没啥矛盾,而且更安全,为啥就直接公布呢?实在搞不懂。
    wildlynx
        16
    wildlynx  
       2020-07-01 19:23:18 +08:00 via iPhone
    还记得大明湖畔的“乌云网站”吗?
    ferock
        17
    ferock  
       2020-07-01 19:23:38 +08:00
    @yukiww233 #10

    劣根性,没办法。那还不如 github 直接提 issue 呢
    tocherrygo
        18
    tocherrygo  
    OP
       2020-07-01 19:25:06 +08:00
    @yukiww233 做法实在不考虑厂家客户利益关系,通知完就公布,其实都效益不大。windows 平台漏洞都是伴随着更新才发布的,难道直接就公布了漏洞让别人挖吗
    ferock
        19
    ferock  
       2020-07-01 19:25:28 +08:00   ❤️ 3
    @tocherrygo #15

    他通知厂家,修复完,他公布
    这个流程没问题。



    可你描述的内容后半段吃香就有点难看了。
    这显然不是问题本身的错啊,软件的 bug 问题就是客观存在的。
    解决问题的办法就是解决掉提问题的人咯?
    tocherrygo
        20
    tocherrygo  
    OP
       2020-07-01 19:33:13 +08:00
    @ferock 那如果不存在利益关系,正常讨论漏洞修复,他们为何刺激漏洞提交而发布奖励?我要不关心客户利益,我们公司也得运营,也得花钱。不能说,我公司程序员写的 bug 被别人发现造成客户损失,反倒让公司程序员花钱赔吧?整个逻辑流程就是:系统做出来了,也给客户用了,被安全人员审计代码发现问题,提交漏洞平台,被其他人看见,利用漏洞造成客户损失,客户找我们赔偿。难道我们不应该找发布漏洞的人一个说法吗?我觉得安全平台发布漏洞存在问题,不应该把详细内容公布,另外还应该修复完再发布。
    ferock
        21
    ferock  
       2020-07-01 19:36:53 +08:00   ❤️ 29
    我觉得安全平台发布漏洞存在问题,不应该把详细内容公布,另外还应该修复完再发布。


    这个流程是对的。
    可“乌云”本来就是按照这种流程走,还是被你这样“难道我们不应该找发布漏洞的人一个说法吗?”的人弄关闭的。
    所以,历史已经用血淋淋的事实告诉我们,即使走了你刚刚说的流程,结果还是,关闭!
    fate
        22
    fate  
       2020-07-01 19:38:56 +08:00
    @tocherrygo 你们产品叫啥
    im3x
        23
    im3x  
       2020-07-01 19:40:26 +08:00
    1. 为名(在安全圈混个名气)
    2. 为利(个大 SRC 平台的漏洞报告奖励)
    3. 提升技术(炫下下代码审计技术)

    ------
    我觉得,用“法律途径”有点夸张和“不仁道”,既然是开源的,咱们收到别人提交的漏洞,那就参考别人的建议(一般热心白帽子哥哥们都会在最后附带漏洞的修补建议)给代码改改,或者尝试联系对方请对方喝个小咖啡发个小礼物以示感谢,个人觉得比直接走“法律途径“好得多,这样用户看到了也更乐意使用你们的程序,互赢互利大好结局
    tocherrygo
        24
    tocherrygo  
    OP
       2020-07-01 19:42:14 +08:00
    @ferock 谢谢解答,乌云我知道这个平台,以前很火。关闭的问题我不清楚具体情况,国内安全圈子好像有 GJ 支持,按理说做法合理,没人会找麻烦。我知道的是白帽有时就是黑帽,没办法,这东西实在不好说,我也是发出来大家讨论。
    tocherrygo
        25
    tocherrygo  
    OP
       2020-07-01 19:44:14 +08:00
    @im3x 我也是这么想的,实在他们不按规则走。直接发布,让平台通知我们。平台直接发布,我们修都没来得及修,全网知道了。
    tocherrygo
        26
    tocherrygo  
    OP
       2020-07-01 19:46:18 +08:00
    @fate 垃圾产品不值一提,实则这件事被恶心到。
    fate
        27
    fate  
       2020-07-01 19:47:11 +08:00   ❤️ 29
    @tocherrygo 自己不反思下为什么产品刚发布就有漏洞的吗?起码人家挖到漏洞了还会提交通知你,按照道理不应该是谢谢挖到漏洞的白帽子,然后建立完整的漏洞提交体系来完善产品吗?你们还要找律师搞人家?就你们这种对安全的态度谁 TM 敢用你们的产品?那我请问下如果是因为你们家产品漏洞导致客户网络边界被打穿,数据被拖机密被窃取你们会负责吗? 求你了把你们产品名字发出来让大家避个坑吧。
    chinvo
        28
    chinvo  
       2020-07-01 19:49:52 +08:00   ❤️ 3
    按流程, 提交人和平台知会你了, 在你确认修复之前不会公开漏洞细节.

    但是客户(包括潜在客户)是有知情权的哦?

    咋滴, 不公开就是没漏洞?
    lifeintools
        29
    lifeintools  
       2020-07-01 19:50:30 +08:00
    你先去告平台。咨询下律师吧。未经授权测试 未经授权发布 都是违法的
    tocherrygo
        30
    tocherrygo  
    OP
       2020-07-01 19:50:31 +08:00
    @fate 请认真看题目,你做啄木鸟找虫子没关系,别把树啄死了。
    wdytoya
        31
    wdytoya  
       2020-07-01 19:55:43 +08:00   ❤️ 17
    先解决提出问题的人哈哈 xswl
    人家凭什么不能公开呢?你抛弃掉所谓做安全的头衔,人家不也是个普通用户么,普通用户发现你一个漏洞,人家跟你们反馈不是人家的义务,就算直接公布也没有什么问题,没带头搞崩你们就很不错了
    有问题,就解决问题,觉得人家公开不好,那就把你们的协议定好,SRC 建好,流程平台搭好,奖励走起,说公德心的都 tm 是在耍流氓
    fate
        32
    fate  
       2020-07-01 19:55:48 +08:00   ❤️ 8
    @tocherrygo 起码人家没有恶意利用漏洞去撸使用了你产品的用户吧,这还是国内,要是你的产品有政企事业单位采用,被国外的黑客爆漏洞了,你还要去找律师告人家?错了就要认,挨打要立正。不管有没有漏洞直接提交给你们,你对于安全的态度就很恶心,我觉得你也应该给客户发个公告,各位客户请放心,我们已经联系律师准备告发布漏洞的白帽子了,相信以后他们挖到漏洞不会再发出来,而是偷偷利用去拖你们的数据了。
    moln
        33
    moln  
       2020-07-01 20:05:04 +08:00   ❤️ 3
    解决提出问题的人,good job
    polaa
        34
    polaa  
       2020-07-01 20:05:58 +08:00
    正常流程一般是挖到了不披露,联系产品,然后产品方修复 bug 之后再披露
    如果联系不到产品方或者产品方不 care,那么就会提交 src,让平台和产品方扯皮,
    如果产品方还是不 care 那么就披露完整的 poc.

    > 监管部门鼓励第三方组织和个人及时向漏洞收集平台报送获知网络产品、服务、系统存在的漏洞情况
    官方是支持向平台披露的,当然这个感觉主要指 CNVD

    问题感觉在 src 平台那边

    ---
    以及楼上有些不是很懂漏洞披露流程,说的话很不负责任
    ---

    》 给你一些参考条款 《漏洞管理规定(征求意见稿)》里的
    第三方组织 : 违反《漏洞管理规定(征求意见稿)》规定向社会发布漏洞信息的

    由工业和信息化部、公安部等有关部门组织对其进行约谈;

    给予行政处罚,如给予警告,处以罚款,责令暂停相关业务,停业整顿,关闭网站,吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处以罚款等;

    构成犯罪的,依法追究刑事责任;

    给网络产品、服务提供者和网络运营者造成经济或名誉损害的,依法承担民事责任。


    (处罚依据:《网络安全法》第六十二条和第六十三条等)
    maskerTUI
        35
    maskerTUI  
       2020-07-01 20:07:14 +08:00   ❤️ 16
    自从世纪佳缘的事情后,正常人都不会在发现漏洞后去告诉厂家的。
    chinvo
        36
    chinvo  
       2020-07-01 20:08:04 +08:00   ❤️ 2
    @polaa #31 我也去读了这个征求意见稿, 很明显, "披露"特指的漏洞细节和 POC 等, 而不是"这个产品有漏洞" 这个事实.
    ryd994
        37
    ryd994  
       2020-07-01 20:08:21 +08:00 via Android   ❤️ 15
    你以为只有公布的那个人发现了漏洞吗?
    他不告诉别人,就是没人知道?
    一般来说,在安全领域,如果有白帽发现了漏洞,基本可以认为已经有黑帽在此之前已经发现并有可能利用这个漏洞。因为黑帽有真金白银的利益诱惑。

    麻烦公司名字发一下,今后我们发现有什么漏洞保证不告诉任何人
    polaa
        38
    polaa  
       2020-07-01 20:11:55 +08:00
    @chinvo 本条明确了第三方组织或个人发布网络安全漏洞信息的原则和要求。



    网络漏洞信息发布不当,可能会危害国家安全、社会安全、企业安全和用户安全。本条的直接上位法条文依据为《网络安全法》第二十六条,“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。”具体规制内容沿用了《漏洞管理规范(征求意见稿)》第 5.5 条的思路,包括网络安全漏洞发布对象、发布方式、发布的原则要求和发布的具体要求四点。



    第一点,发布对象,第三方组织或个人,即开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织和个人。



    第二点,发布方式,通过网站、媒体、会议等方式向社会发布,主要指向公开发布的形式。



    第三点,发布的原则要求,遵循必要、真实、客观、有利于防范和应对网络安全风险的原则。漏洞信息涉及的目标对象、风险情况描述等应真实客观,不得发布虚假、容易引起误解和恐慌和用于打击竞争对手等不正当竞争目的等的网络安全漏洞信息。



    第四点,发布的具体要求,包括“三不得”和“一同步”。



    “三不得”规范了发布时间、发布的真实客观性和发布内容,具体包括:



    第一,发布时间要求,不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息。该项要求与本规定第三条第二项相关联,参照了《中国互联网协会漏洞信息披露和处置自律公约》(以下简称“《漏洞披露和处置自律公约》”)第十一条适时披露原则的精神,但对具体时间节点进行了明确规定。需要探讨的点在于,该项似乎隐含如果该等漏洞信息无需用户或相关技术方采取漏洞修补或防范措施,网络产品、服务提供者和网络运营者可以不向社会或用户发布,由此也能限制第三方组织或个人向社会发布网络安全漏洞信息;



    第二,发布的真实客观性要求,沿用了《漏洞管理规范(征求意见稿)》 5.5.1b)条和《漏洞披露和处置自律公约》第十一条客观原则要求的思路,漏洞信息涉及的目标对象、风险情况描述等应真实客观,不得将漏洞潜在风险作为网络攻击事件进行发布和诱导,不得刻意夸大漏洞的危害和风险,避免引起媒体舆论和社会公众的误读和恐慌;



    第三,发布内容要求,沿用了《漏洞管理规范(征求意见稿)》 5.5.1c)条的思路,旨在防止为相关漏洞被违法违规利用提供帮助的行为。需要进一步探讨的是,这里的“专门”的限定是否有必要?实践中有多大概率会专门发布从事危害网络安全活动的方法、程序和工具?。



    “一同步”,即同步发布漏洞修补或防范措施,意味着在网络产品、服务提供者和网络运营者发布漏洞修补或防范措施之外,漏洞发布者也需要发布漏洞修补或防范措施。未决问题在于,漏洞发布者发布的漏洞修补或防范措施是否可以与网络产品、服务提供者和网络运营者发布漏洞修补或防范措施保持一致?还是需要提出同等保护效果或者更有效的修补或防范措施?
    zgzhang
        39
    zgzhang  
       2020-07-01 20:17:34 +08:00   ❤️ 6
    @tocherrygo 或许这个白帽子或者相关漏洞平台存在一定问题,但是你的说辞真的恶心。这个人既然提交了漏洞说明他并没有太多获利的想法。你可以联系相关平台问一下为什么没通知情况下直接公布 POC,而不是试图解决这个找到问题的人。
    polaa
        40
    polaa  
       2020-07-01 20:30:35 +08:00
    @zgzhang 对 明明其实是平台的问题
    tocherrygo
        41
    tocherrygo  
    OP
       2020-07-01 20:50:23 +08:00
    @zgzhang 我只能说他的初心没问题,但是他未直接跟厂家沟通,直接提交漏洞让平台处理这个步骤有问题。平台一旦接受漏洞,就直接公布,再通知厂家,这明显是已知处理逻辑。他完全可以先预知后续发展。
    tocherrygo
        42
    tocherrygo  
    OP
       2020-07-01 20:52:31 +08:00
    @polaa 感谢网友提供法律依据,我会认真看看。谢谢。
    reus
        43
    reus  
       2020-07-01 20:53:03 +08:00   ❤️ 1
    不就是,发现有漏洞应该直接去黑市卖嘛,不然怎么给这些无良公司造成更重大的损失?
    居然去平台发布,真不专业。
    avrillavigne
        44
    avrillavigne  
       2020-07-01 21:04:07 +08:00
    直接发布漏洞详情,楼上居然这么多人同意,笑死了。
    shansing
        45
    shansing  
       2020-07-01 21:14:15 +08:00   ❤️ 1
    “平台一旦接受漏洞,就直接公布”,这明显就是平台的错啊,这怎么就能觉得平台是好的?

    如楼上所说,发平台有名有利,不过人家也有一定的保护作用。直接发给你们厂商,怕是会被你们反将一军。

    另外我好奇征求意见稿有没有效力,求解释。
    Va1n3R
        46
    Va1n3R  
       2020-07-01 21:16:46 +08:00   ❤️ 12
    安全从业人员觉得好奇,现在能直接接受小众 cms 漏洞提交无非就国家那几个平台,还有一些私有的公益项目,不过白帽子大多也赚不到几个钱。如果是国有的 cnvd 之类的平台,据我所知不会公布内容详情,而且这是国家平台,能有什么问题?如果是私有 src 那就更好玩的,据我所知这些 src 从来没有流出过漏洞的详情吧。你做开源项目,不让 pull ?这谁敢用你的项目,一点开源精神都没有。技术不到位就算了,还不承认自身错误。这种小 cms 白帽子交给平台的收益微乎其微,cnvd 之类的可能会有数字证书(非实物)奖励,私有的估计也就十几到几百块钱,而且这也不是白帽子的问题。我觉得白帽子已经做的很好了,非要有客户用了你们的程序,结果被人黑下来你才满意吗。
    这个行业太多白帽子联系厂商被倒打一耙的案例太多太多了,直接联系了当作勒索,不直接联系又搁着抱怨。
    just1
        47
    just1  
       2020-07-01 21:27:56 +08:00
    现在还有直接公开的平台吗,是哪个呀
    ooooo
        48
    ooooo  
       2020-07-01 22:02:02 +08:00   ❤️ 1
    让人想起了世纪佳缘
    bestwing
        49
    bestwing  
       2020-07-01 22:02:59 +08:00   ❤️ 1
    有几个疑问:

    1 、平台告知你之后直接公布了漏洞详情,还是做了漏洞预警
    2 、这是什么平台,个人觉得这平台流程不对阿,应该是平台的问题吧,正常是要 白帽子发现漏洞提交平台,然后平台通知厂商,厂商修复漏洞,然后在一段时间之后做漏洞披露,这才是正常流程。
    GeruzoniAnsasu
        50
    GeruzoniAnsasu  
       2020-07-01 22:12:38 +08:00   ❤️ 10
    @tocherrygo 平台是提交人的保护者,事实上是平台在担保漏洞修复-公布流程的合法性和保密性

    设想一下如果漏洞研究者直接提给厂商,厂商一边修复一边先送了奖励然后反手把研究者送公安那去破坏计算机信息系统罪+起诉敲诈勒索,他有什么自保措施么?完全没有

    提交给平台,平台审核测试合法性、保证通知-修复-公开流程的完善性、担保厂商的修复奖励真实有效,这样研究者才有可靠合法的施展空间

    平台直接公开了漏洞,那是平台有问题,你为什么会想到解决研究者?
    GeruzoniAnsasu
        51
    GeruzoniAnsasu  
       2020-07-01 22:14:12 +08:00
    lz,漏洞公开时间和流程是平台规定的。如果平台提早公开,是平台的问题,如果提交者未经平台披露自己先行公开,那他确实不受保护,可以予以追责
    ajaxfunction
        52
    ajaxfunction  
       2020-07-01 22:19:23 +08:00
    被搞安全这帮人恶心了好多次了,
    美名其曰帮你找漏洞,实则为了自己名利,故意夸大漏洞危害
    本来就是给 zf 某县区做了一个日访问量不到 100ip 的网站,结果被人反馈说有漏洞会照成重大影响,可能会导致数百万人信息泄露,结果上级部门还真信了,把开发人员拉过去数落一顿,其实啊,那网站我估计 100 个 ip 有 80%都是爬虫
    mercury233
        53
    mercury233  
       2020-07-01 22:26:36 +08:00   ❤️ 2
    @ajaxfunction 所以说到底有没有漏洞
    slanternsw
        54
    slanternsw  
       2020-07-01 22:28:25 +08:00   ❤️ 2
    @ajaxfunction 所以漏洞是存在的吗
    ajaxfunction
        55
    ajaxfunction  
       2020-07-01 22:29:34 +08:00
    @mercury233 确实有漏洞,会被人篡改文章,后来干脆就本地生成静态 html,然后一键同步到生产目录
    ajaxfunction
        56
    ajaxfunction  
       2020-07-01 22:29:52 +08:00
    @slanternsw 确实存在
    Cielsky
        57
    Cielsky  
       2020-07-01 22:36:06 +08:00 via Android   ❤️ 1
    为什么不告诉厂家,因为有过先例,告诉了反被告敲诈。
    前段时间还在 V 站看到一个发现一个漏洞,问怎么安全提交的。
    dun
        58
    dun  
       2020-07-01 23:05:52 +08:00
    通知是情分不是义务,没有通过漏洞获取利益、数据,不是非法入侵。
    GeruzoniAnsasu
        59
    GeruzoniAnsasu  
       2020-07-01 23:08:27 +08:00   ❤️ 12
    @ajaxfunction 最好别跨领域挑战别人的饭碗

    一个网站日流量 100 与这个网站后台包含 100w 人的信息之间没有任何因果关系
    你的网站哪怕只是有一个可遍历账号公开信息的接口,那也可能存在着整站所有注册用户全部实名信息泄露的风险。因为可遍历信息意味着有撞库的可能,可撞库则可登录,可登录则有鉴权,有鉴权则很可能可跨业务查询自己的实名信息

    不搞安全,你自认自己有这样的直觉和意识吗


    说句不好听的,搞安全的,路过这种 pv100 的小破站哪怕直接能扒得底裤都不剩也没有挖出大厂一个犄角旮旯的业务微不足道的 xss 有成就感。因为可能这个 xss 能让这个大厂给他发实物奖励让他发在朋友圈炫耀,但小破站往往只会出来一个不懂装懂反手无威胁+报警的骚操作运维让他吃不了兜着走
    younghust
        60
    younghust  
       2020-07-01 23:24:51 +08:00
    @polaa 挺热心的。现实是,你就是再会法条,也白搭。个体户一般是随手挖个洞,你是大厂就提一提,不是大厂很多都看心情办,要么不管要么拿出来炫技,一般炫技比较惨,乌云关了就更加不会愿意公开了。
    mercury233
        61
    mercury233  
       2020-07-01 23:27:45 +08:00   ❤️ 6
    @ajaxfunction 篡改文章这么严重的漏洞你居然还怪帮你搞安全的人……要是真有境外势力发点反动信息,你就不是挨一顿数落的事了。而且表面篡改文章,实际可能是 sql 注入甚至拿 shell,那整台服务器所有的数据都危险了,存储着访问内部接口的凭据的话那就真的是数百万人信息泄露……
    younghust
        62
    younghust  
       2020-07-01 23:28:54 +08:00
    念法条贴出来就跟法条里面说不准歧视女性就业一样,虽然我也支持平权,但私企民企怎么做就是人家自己看着办了。
    同理,网安一直不能成为热门职业的原因是,在企业里业务没出事那年终奖网安部是最少的,出了事网安部就要开人和背锅了。
    crab
        63
    crab  
       2020-07-01 23:33:13 +08:00   ❤️ 1
    @ajaxfunction 被用来恶意 seo 就知道危险性了,到时候就不是数落一顿.
    jerryrib
        64
    jerryrib  
       2020-07-01 23:37:40 +08:00
    赞 12 楼的 提交第三方的可能也是担心碰上世纪佳缘那一出
    zeocax
        65
    zeocax  
       2020-07-01 23:38:52 +08:00 via Android
    看半天我也没看出来,平台到底有没有提前放出 POC ?
    QUIOA
        66
    QUIOA  
       2020-07-01 23:41:32 +08:00 via Android
    “能否用法律途径获得赔偿”

    吐了
    zeocax
        67
    zeocax  
       2020-07-01 23:44:20 +08:00 via Android   ❤️ 2
    @tocherrygo 所以平台是公布有漏洞这个事实,还是连 POC 一起放出来?(后者这样的平台不存在的吧)我总觉得你这个描述不管有意还是无意都在混淆这一点。
    falcon05
        68
    falcon05  
       2020-07-01 23:54:37 +08:00 via iPhone
    哪个平台会这么做啊,有这么不专业的平台吗?
    login546
        69
    login546  
       2020-07-02 00:03:10 +08:00 via iPhone
    首先国内的平台基本都不会公布 poc,和漏洞细节。
    其次开源产品为什么不能挖漏洞,然后提交漏洞平台。
    现在不让人交漏洞,非得客户被挂马,挂暗链,搞勒索病毒,在整改?
    楼主建议你换个心态,搞个 src 平台,收一收漏洞,一举两得,既不会公布漏洞,也能加固改善产品,难道不香吗?
    你生气还是因为利益相关,换个心态,啥都解决。
    jadec0der
        70
    jadec0der  
       2020-07-02 00:11:08 +08:00   ❤️ 2
    到底是在哪个平台公布的?既然都公布了,请指一下路

    让大家评理也不能光听你说啊
    ihciah
        71
    ihciah  
       2020-07-02 00:24:43 +08:00 via iPad
    这帖子太真实了。。直接解决提出问题的人,稳的。
    ihciah
        72
    ihciah  
       2020-07-02 00:25:58 +08:00 via iPad   ❤️ 2
    这个帖子要收藏起来,碰到下一个很难的。
    mercury233
        73
    mercury233  
       2020-07-02 00:29:49 +08:00   ❤️ 5
    我猜情况应该是这样的,某白帽发现某企业系统有漏洞,提交给某平台,平台转交给企业,而这个企业是楼主的客户,系统是楼主开发的
    icy37785
        74
    icy37785  
       2020-07-02 00:36:01 +08:00 via iPhone   ❤️ 15
    目前没见过哪个平台直接公布漏洞细节的。楼主很多问题也没说太清楚,我捋了捋,猜测大概是这样的。
    楼主有一个产品,并且是开源的。
    有个白帽发现有漏洞就提交给了某平台
    某平台联系了楼主后,就发出公告,xx 产品存在漏洞,大概率是没公布细节的,因为楼主担心的不是公布后漏洞被黑客利用,而是担心的客户觉得不安全
    然后楼主的客户觉得 xx 产品存在漏洞不安全
    楼主就很愤怒,认为白帽发现漏洞后应该直接联系他,让他们去修复漏洞就好了,不应该发不到平台上让客户知道。让客户知道他们的产品存在漏洞是对他们权益的侵犯。因为楼主从头到尾没把问题归结于平台的公布,而是白帽不应该提交平台而应该直接联系他。所以我只能这么猜测了。
    nbabook
        75
    nbabook  
       2020-07-02 00:38:18 +08:00   ❤️ 1
    @mercury233 #73 支持这个猜测。而且就楼主这个态度和思路,我很怀疑如果白帽直接联系楼主,楼主转头就报警了。。。
    zk8802
        76
    zk8802  
       2020-07-02 00:45:14 +08:00 via iPhone   ❤️ 1
    合理的流程叫做 responsible disclosure,考虑了厂商、用户和漏洞发现者三方的利益。不遵循 responsible disclosure 就公开发布漏洞,也不能说就是错的:你不能要求漏洞发现者既放弃自己的收益(你看人家毕竟没把漏洞卖了),又为厂商考虑然后放弃自己的荣誉(公开漏洞很多时候就是为了一点儿成就感和满足感)。

    但是国内还是有不少厂商是像楼主这样思考的,解决不了问题就解决提出问题的人,这样只能导致今后越来越多的人私下交流、利用漏洞并获取利益,而不是公开漏洞让厂商修复。
    zk8802
        77
    zk8802  
       2020-07-02 00:47:55 +08:00 via iPhone   ❤️ 3
    另外,国内的“相关法律”好像还没通过立法,而且那个征求意见稿对漏洞发现者非常不友好,简直就是在建议大家与其报告漏洞,还不如卖了算了…参与立法的各方好像就没把白帽黑客的经济账搞明白。
    zwy100e72
        78
    zwy100e72  
       2020-07-02 01:10:58 +08:00 via iPhone
    安全从业者投入时间和劳动,挖到了漏洞,这个漏洞的市场价格可以认为是私下交易的价格;漏洞的价值则与影响范围直接挂钩。在这方面,厂商常规的操作应该是提供有竞争力的悬赏,避免漏洞在市面上流通,带来更大的安全风险。
    楼主作为收到漏洞报告的一方,合理的处理方式是支付合理的报酬,并在合理的时限内修复已有漏洞,与平台、漏洞发现者保持良好的合作关系;请勿杀鸡取卵,没有人提出问题,并不代表真的没有问题。
    这里举一个苹果公司的反例: https://news.ycombinator.com/item?id=23689364
    ryd994
        79
    ryd994  
       2020-07-02 01:46:39 +08:00 via Android   ❤️ 4
    看到了你的附言,看来你还是没有明白问题的根源
    你以为那里有个果实,其实那里早就没有了。人家只是指出了这一事实而已。是你自己的疏忽大意让果实没了,而不是那个指出的人。
    没人劝你大度,大家都在一边倒地说你傻逼而已。
    平台公开漏洞存在而不公开漏洞细节,这就完全没问题。你的客户跑了是你自己的问题。如果你能尽快修复并公开漏洞细节,给你的客户看到问题不大而且你行动迅速,这都是可以理解的。
    如果平台完全不公布会怎样?客户系统上线了,出事了,后来查出来平台早就知道,平台负得起这个责任吗?
    只要漏洞在那里,它就有可能会出事,而不是有人公布了才会出事。

    还是请楼主公布一下公司哪家。做生意不讲诚信的公司不能合作。
    exhades
        80
    exhades  
       2020-07-02 02:11:58 +08:00   ❤️ 7
    楼主麻烦发下你公司,我们拉黑下

    正常流程的话白帽们是不会直接公布漏洞的,(厂商没 src 的情况下)一般都是把详细信息提交到几个大的安全平台,然后平台联系厂商修复,等厂商修复后平台(或白帽)才会公布漏洞信息的。。。

    至于白帽直接联系厂商,其实对双方来说都没安全保证。。。那个白帽敢直接联系你啊。。怕不是你转头就报警说人家白帽勒索你。。。
    ditel
        81
    ditel  
       2020-07-02 03:14:34 +08:00 via Android
    @tocherrygo 明显是平台的问题啊,你该表示对平台不把没有修复的漏洞的提交展示出来
    e1eph4nt
        82
    e1eph4nt  
       2020-07-02 04:33:41 +08:00   ❤️ 1
    楼主抱怨了半天也没有把事情的始末说清楚,个人感觉楼主不是逻辑有问题就是理亏不敢说清楚。。。
    e1eph4nt
        83
    e1eph4nt  
       2020-07-02 04:38:46 +08:00   ❤️ 1
    @zeocax 我觉得楼主也是故意在回避这个问题,不过也可能是逻辑太差不能把问题描述清楚,所以产品有严重安全漏洞也不足为奇。。。
    ericgui
        84
    ericgui  
       2020-07-02 06:29:47 +08:00   ❤️ 1
    对呗,万一拿着漏洞联系你,你报警,那哥们就进去了。
    不如直接放出漏洞,然后吃瓜。

    你可能问为什么不拿去黑市卖掉?你那产品估计不流行,所以卖不上价格。
    irainsoft
        85
    irainsoft  
       2020-07-02 06:49:36 +08:00   ❤️ 1
    所以说白帽子在国内是真难,做好事没好报,可怜乌云啊...
    irainsoft
        86
    irainsoft  
       2020-07-02 06:54:42 +08:00   ❤️ 1
    我反正是没搞懂为什么楼主回去喷帮你们找漏洞的白帽子,反而扣上一个黑客的头衔去。要怪罪平台不就不要把帮了你人一块给“法律制裁”了,否则你就是下一个帮安全领域开倒车的世纪佳缘。
    eviladan0s
        87
    eviladan0s  
       2020-07-02 07:14:55 +08:00 via Android   ❤️ 1
    @ajaxfunction 兄弟,这是 gov,能篡改 html 居然不重要?给你挂点轮子的东西上去你看看是什么影响,国庆的时候搞重保就是防这种玩意,错了承认挨打站稳,推卸责任没意思
    lizz666
        88
    lizz666  
       2020-07-02 08:32:01 +08:00
    你这个头像真骚啊
    xuandao
        89
    xuandao  
       2020-07-02 08:36:51 +08:00   ❤️ 1
    通知有漏洞,是公布漏洞内容了?公布 poc 了?还是预警?请告知哪家平台,我去学习一下
    你这个话都没说清楚。
    安全人员通知厂商?反手你报警怎么办?
    开源就不要怕被搞,你自己写的代码被人发现问题就不要甩锅,犯错要承认,挨打要立正。
    你开源都不让人搞,那你开个**源?

    要不楼主把你哪家 cms 说出来,咱们避避坑,肯定不挖你家洞,最后出现问题让你喜提红头文件三连,你挑一个?
    tankren
        90
    tankren  
       2020-07-02 08:40:22 +08:00
    正常操作不应该是先通知到相关公司提交数据 然后修复 然后奖励 然后公布吗 直接公布是想让看到的人都进去看看?
    xuandao
        91
    xuandao  
       2020-07-02 08:41:26 +08:00
    @tankren 我寻思着现在也没平台敢公开漏洞细节啊
    Greenm
        92
    Greenm  
       2020-07-02 08:44:04 +08:00 via iPhone
    本来不把安全当回事,还想来找认同感,被反驳得没话说。
    ifxo
        93
    ifxo  
       2020-07-02 08:44:29 +08:00
    竞争太激烈,公布晚了就被别人抢先了,明白吗
    ioioioioioioi
        94
    ioioioioioioi  
       2020-07-02 08:46:19 +08:00
    所谓的白帽子真的挺恶心的。就像一个人,没有经过主人允许,鬼鬼祟祟进入你家,出来了,然后说,你家有漏洞可以进,给我点钱,我告诉你。
    所以,未经过允许的所谓白帽子都是刷流氓,要搞,请征得允许!!!偷偷摸摸搞了,不是做好事,是犯罪!!!
    zc199068
        95
    zc199068  
       2020-07-02 08:53:12 +08:00
    我算是知道为什么那么多黑产了,原来也是被逼的
    glfpes
        96
    glfpes  
       2020-07-02 09:04:03 +08:00
    @ioioioioioioi
    建议白帽全体转黑帽嗷
    glfpes
        97
    glfpes  
       2020-07-02 09:05:32 +08:00
    老板眼里的安全部:没出问题就是个没价值的部门,出了问题就是背锅的部门。
    xxxy
        98
    xxxy  
       2020-07-02 09:11:54 +08:00 via Android
    这可能是典型的安全和开发之间的争论了吧,这也是安全平台出现的理由。
    summerl0l
        99
    summerl0l  
       2020-07-02 09:16:33 +08:00   ❤️ 2
    @ioioioioioioi 发现一个开源软件的漏洞叫做“就像一个人,没有经过主人允许,鬼鬼祟祟进入你家”。
    按你这个说法开源软件就不应该被找漏洞了。
    raptor
        100
    raptor  
       2020-07-02 09:16:46 +08:00
    不要借机黑乌云吧,乌云的流程相对正规,发现漏洞都是先通知作者或使用者,好像是给 30 天的修复时间,之后才会公布。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1172 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 18:14 · PVG 02:14 · LAX 10:14 · JFK 13:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.