hw期间,作为防守方使用某厂(国内大厂)态势感知系统的时候发现某重要接口未授权访问.
大概是今年1月份发布的版本,而且更新需要原厂人员进行手动升级.
上面三个接口调用的同一api,均可以获取数据.接口返回的数据内容包括整个系统的数十亿条(数TB大小)流量日志,报警内容等.
漏洞证明:
马上上报至该厂商,该厂商的某产品经理表示感谢,并以个人身份给我转了200并要求保密.全程没有一个技术人员与我确认漏洞危害性以及影响范围.
询问是否有官方漏洞奖励计划时,该厂商(后确认只是该产品经理个人行为,不代表官方立场)认为申请漏洞奖励计划是勒索行为,并打电话至我老师处声称你校有学生在勒索我厂.全程均有聊天记录,电话录音作证.
建议各位以后提交漏洞不要直接冲塔,你永远不知道某些领导的脑回路.建议提交至第三方平台,以个人身份提交漏洞永远是弱势一方.
此事之后,已对国内某些厂商彻底失望,以后努力提升自己,尽量远离某些国内大厂.