记一次不愉快的挖洞经历

hw期间,作为防守方使用某厂(国内大厂)态势感知系统的时候发现某重要接口未授权访问.

大概是今年1月份发布的版本,而且更新需要原厂人员进行手动升级.

1

上面三个接口调用的同一api,均可以获取数据.接口返回的数据内容包括整个系统的数十亿条(数TB大小)流量日志,报警内容等.

漏洞证明:

2

马上上报至该厂商,该厂商的某产品经理表示感谢,并以个人身份给我转了200并要求保密.全程没有一个技术人员与我确认漏洞危害性以及影响范围.

询问是否有官方漏洞奖励计划时,该厂商(后确认只是该产品经理个人行为,不代表官方立场)认为申请漏洞奖励计划是勒索行为,并打电话至我老师处声称你校有学生在勒索我厂.全程均有聊天记录,电话录音作证.

3

建议各位以后提交漏洞不要直接冲塔,你永远不知道某些领导的脑回路.建议提交至第三方平台,以个人身份提交漏洞永远是弱势一方.

此事之后,已对国内某些厂商彻底失望,以后努力提升自己,尽量远离某些国内大厂.

  • 本文作者: M09ic
  • 本文链接: https://m09ic.top/posts/12282/
  • 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!