src漏洞挖掘|一个谎言需要无数谎言来弥补
先說一下對(duì)事不對(duì)人。
?
參加雙11保衛(wèi)戰(zhàn)活動(dòng),針對(duì)活動(dòng)我們發(fā)生的事情,而不是針對(duì)src
事情還得從6號(hào)提交菜鳥的漏洞說起。
提交了個(gè)漏洞因?yàn)榕虏环€(wěn),把2個(gè)大洞打包提交了,然后19號(hào)收到消息內(nèi)部已知,內(nèi)部已知的聊天記錄也是說了下這個(gè)業(yè)務(wù)情況,說是灰度中。
?
?
然后我覺得從這個(gè)對(duì)話中好像是已經(jīng)修復(fù)了,
菜鳥那邊回答我說正在灰度,下周如果還可以復(fù)現(xiàn)那他們承認(rèn)這個(gè)漏洞,我想算了就這樣吧。
?
?
然后中間又提了2個(gè)洞。
一個(gè)是內(nèi)部已知,我去問的時(shí)候說是人工安全意識(shí)薄弱不屬于漏洞;
再有一個(gè)是不是菜鳥的業(yè)務(wù),他們雙十一保衛(wèi)戰(zhàn)的公告范圍寫錯(cuò)了。
?
拜托我就想挖一個(gè)高危而已,這是干啥呢?
我覺得那老天都不幫我,我還測(cè)個(gè)啥呢,玩吧。
所以接下來的時(shí)候天天無限火力,不得不說無限火力真香。
就在昨天突然想到了上周的那句話如果還可以,我們還認(rèn)可的。
我尋思那試試唄,夢(mèng)想不能沒有,萬一實(shí)現(xiàn)了呢?
于是就去問了一下上周的話還算數(shù)嗎,然后截圖給他告訴他還是可以復(fù)現(xiàn)的。
?
?
接下來居然問我是在小程序還是app,這個(gè)就尷尬了,難道當(dāng)初都不知道我這個(gè)漏洞問題在哪里就內(nèi)部已知了嗎。。
然后提交的2的打包漏洞只修復(fù)了其中一個(gè),因?yàn)榱硪粋€(gè)比較隱蔽。接下來他打算自己復(fù)現(xiàn)一下是否還存在這個(gè)問題。而且再次說我們認(rèn)的。
這里給他點(diǎn)個(gè)贊,起碼當(dāng)時(shí)以他自己的想法是覺得應(yīng)該認(rèn)的。
?
?
然后經(jīng)過復(fù)現(xiàn)后他確認(rèn)了這個(gè)問題,于是就去和阿里說明了一下情況看看他們應(yīng)該怎么處理一下。
?
?
整個(gè)過程看下來就是內(nèi)部已知,然后承諾下周修復(fù),我去復(fù)現(xiàn)結(jié)果只修了一個(gè)明顯的地方就是我在報(bào)告中詳細(xì)寫的那個(gè)接口被修復(fù)了。
而我沒有寫的這個(gè)接口但是在漏洞報(bào)告中提到的這個(gè)并沒有修復(fù),中途也能看出來他們連app或者小程序哪個(gè)存在問題都分不清楚,到最后真的給我確認(rèn)了漏洞,然后。。。
?
?
日子還得過,我一個(gè)小人物也沒想過能對(duì)抗誰,以后漏洞該挖還得挖不是嗎。
但是請(qǐng)?jiān)试S我作為一個(gè)打工人的抱怨,我還是想試試對(duì)抗一下這些不公。
最后,對(duì)事不對(duì)人。他的確是一直在幫我復(fù)現(xiàn)這個(gè)漏洞也承認(rèn)了,我相信我敗給的絕對(duì)不是個(gè)人,而是體系。
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯,堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)總結(jié)
以上是生活随笔為你收集整理的src漏洞挖掘|一个谎言需要无数谎言来弥补的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 记一次偶遇Adminer
- 下一篇: 记一次游戏私服getshell过程