先说一下对事不对人。

参加双11保卫战活动,针对活动我们发生的事情,而不是针对src

事情还得从6号提交菜鸟的漏洞说起。

提交了个漏洞因为怕不稳,把2个大洞打包提交了,然后19号收到消息内部已知,内部已知的聊天记录也是说了下这个业务情况,说是灰度中。

然后我觉得从这个对话中好像是已经修复了,

菜鸟那边回答我说正在灰度,下周如果还可以复现那他们承认这个漏洞,我想算了就这样吧。

然后中间又提了2个洞。

一个是内部已知,我去问的时候说是人工安全意识薄弱不属于漏洞;

再有一个是不是菜鸟的业务,他们双十一保卫战的公告范围写错了。

拜托我就想挖一个高危而已,这是干啥呢?

我觉得那老天都不帮我,我还测个啥呢,玩吧。

所以接下来的时候天天无限火力,不得不说无限火力真香。

就在昨天突然想到了上周的那句话如果还可以,我们还认可的。

我寻思那试试呗,梦想不能没有,万一实现了呢?

于是就去问了一下上周的话还算数吗,然后截图给他告诉他还是可以复现的。

接下来居然问我是在小程序还是app,这个就尴尬了,难道当初都不知道我这个漏洞问题在哪里就内部已知了吗。。

然后提交的2的打包漏洞只修复了其中一个,因为另一个比较隐蔽。接下来他打算自己复现一下是否还存在这个问题。而且再次说我们认的。

这里给他点个赞,起码当时以他自己的想法是觉得应该认的。

然后经过复现后他确认了这个问题,于是就去和阿里说明了一下情况看看他们应该怎么处理一下。

整个过程看下来就是内部已知,然后承诺下周修复,我去复现结果只修了一个明显的地方就是我在报告中详细写的那个接口被修复了。

而我没有写的这个接口但是在漏洞报告中提到的这个并没有修复,中途也能看出来他们连app或者小程序哪个存在问题都分不清楚,到最后真的给我确认了漏洞,然后。。。

日子还得过,我一个小人物也没想过能对抗谁,以后漏洞该挖还得挖不是吗。

但是请允许我作为一个打工人的抱怨,我还是想试试对抗一下这些不公。

最后,对事不对人。他的确是一直在帮我复现这个漏洞也承认了,我相信我败给的绝对不是个人,而是体系。

src漏洞挖掘|一个谎言需要无数谎言来弥补相关推荐

  1. 重生之我是赏金猎人-SRC漏洞挖掘(五)-轻松GET某src soap注入

    0x01 挖掘 在对某SRC测试时,本人根据其证书信息收集到了部分深度子域,并找到了其对应的业务IP段 写了个shell脚本+ffuf批量fuzz某src c段资产目录 发现了xxSRC c段的一个提 ...

  2. 绝对干货!src漏洞挖掘经验分享

    公粽号:黒掌 一个专注于分享渗透测试.黑客圈热点.黑客工具技术区博主! src漏洞挖掘经验分享 – 掌控安全以恒 一.公益src 公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现 ...

  3. 干货|SRC漏洞挖掘经验

    先谈个人经历,我虽然很早前就像挖掘SRC来锻炼自己,但真正实现起来大概也是2月初的时候.一开始在几大SRC平台,如顺丰SRC,小米SRC等装了两下,真的不知道从何入手.而且,SRC提交这事从来都是前人 ...

  4. SRC漏洞挖掘之偏门资产收集篇

    写这篇文章的目得,就是跟大家分享一下平时我挖src漏洞的一些经验,当自己挖到某个站点的漏洞时,往往就会欣喜若狂的往src平台上提交,得到的结果却是 "漏洞已重复,感谢提交" ,其实 ...

  5. SRC漏洞挖掘--CNVD国家信息安全漏洞共享平台

    目录 0x00 简介 0x01 过程中使用的工具 0x02 详细过程 一.  寻找挖洞目标 1.1 工具介绍 1.2 目标检索过程 二. 趁手的挖洞工具 2.1 工具介绍 2.2 工具下载链接 2.3 ...

  6. 重生之我是赏金猎人-SRC漏洞挖掘(二)-逆向app破解数据包sign值实现任意数据重放添加

    0x00前言 本期登场的目标虽不是SRC,但是整个漏洞的利用手法很有学习意义.目前在很多大厂的http数据包中都会添加sign值对数据包是否被篡改进行校验,而sign算法的破解往往是我们漏洞测试的关键 ...

  7. 教育src漏洞挖掘-2022-白帽必挖出教程

    0.关于为什么要写这篇文章 作为刚接触渗透的小伙伴儿肯定都想快速挖到漏洞提交平台获取注册码,或者想获取更多积分换取证书,这篇文章就是为了帮助各位师傅们快速上手挖取教育src 1.开始前准备 每一次成功 ...

  8. 重生之我是赏金猎人-SRC漏洞挖掘(一)-某SRC测试系统无脑Getshell

    0x01 前言 https://github.com/J0o1ey/BountyHunterInChina 欢迎大佬们点个star 0x02 资产收集到脆弱系统 在某src挖掘过程中,本人通过ssl证 ...

  9. 补天SRC漏洞挖掘(一):主域名爬取

    0x00 准备工作 补天账号 python3运行环境 requests等第三方库 CSS 选择器参考手册 0x01 流程分析 分别查看专属SRC.企业SRC.公益SRC对应URL,发现没有变化.初步判 ...

最新文章

  1. jquery和javascript的区别(转载自脚本之家)
  2. 超大型数据中心阻碍5G的正常发挥?
  3. Appendix:附录文件内容记录脚本代码转换过程记录
  4. GPSD架构介绍及交叉编译和使用
  5. Python编程专属骚技巧3
  6. 《Python Cookbook 3rd》笔记(2.8):多行匹配模式
  7. linux listener作用,Local_listener 的作用
  8. 浏览网页时,手机显示手机被恶意攻击,不停震动,一直弹出应用要我下载,有没有问题?
  9. freebsd mount linprocfs
  10. python定义常量
  11. Python零基础入门学习 作者:小甲鱼
  12. 一文看完“阿里云自动化运维沙龙 · 上海专场”整场干货
  13. 简单的JSON解析工具
  14. ST-LINK官方驱动下载方法
  15. iOS永久不掉签名工具,TrollStore超详使用教程
  16. 九型人格:三、The proformer 实干者 - 我若没有成就,就没有人会爱我。
  17. 闲云野鹤:吃鸡(一)之场景制作:使用GPU instancing方式制作刷草插件
  18. 实验七:定时/计数器8253、8254
  19. 为什么次对角线元素均不为零的三对角矩阵为不可约矩阵
  20. 百度网盘限速怎么办?

热门文章

  1. C++string详解
  2. 为什么B+树比B树更适合做数据库索引
  3. 信号处理的流程linux,linux信号处理机制
  4. exls导入数据库 php_PHP Excel导入数据到MySQL数据库
  5. 一段简单的python代码_Python趣味打怪:60秒学会一个例子,147段简单代码助你从入门到大师 | 中文资源...
  6. 嵌入式论文3000字_SCI英文论文一般多少字
  7. python开发网页视频播放器_HTML5 VideoAPI,打造自己的Web视频播放器
  8. intitle:客服机器人代码_游戏客服能影响企业发展?千万别大意
  9. Linux节点之间无密码问题,Linux下多节点SSH无密码互联实现
  10. 12306订票候补是个坑_还在加钱抢票?12306已屏蔽多个抢票软件渠道!