作者a25ptt (dkbd)
看板Soft_Job
标题[请益] 发现网站漏洞是否要回报?
时间Sat Apr 22 18:02:47 2023
小弟最近发现某个付费网站有漏洞。
该网站的某只API内容会公开其他使用者的个资,
使用该API的内容结合该网另一只API,
就可看到对应使用者的付费文章。
因为小弟也是该网站的使用者之一,
目前在犹豫是否要向该网站提报漏洞,
但又怕被反诬告是骇客(对象是台湾公司)。
想请问板上的大大,
我该怎麽回报此漏洞,
才能保障自己不被事後清算呢?
-----
Sent from JPTT on my iPhone
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.235.135.113 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1682157769.A.412.html
2F:推 zrna0515: 去 HITCON zero day04/22 18:09
感谢两位大大帮忙,我来研究下。
※ 编辑: a25ptt (61.65.225.80 台湾), 04/22/2023 18:15:02
3F:推 qwe70302: 牛逼,是有一支api能把整个user table捞出来48404/22 18:19
没有到全部,但有很多机敏性资料。
4F:→ ChungLi5566: 我之前发现子龙网站漏洞是直接寄信给客服告诉他们怎04/22 18:48
5F:→ ChungLi5566: 麽修04/22 18:48
我也有想过,但该网站有点偏灰色产业
我不太敢直接联系对方……
※ 编辑: a25ptt (49.217.129.211 台湾), 04/22/2023 18:57:48
6F:推 s860134: 不需要 没有奖金计画04/22 19:04
7F:推 jej: 和主管说 然後大拇指和食指摆出爱心的动作04/22 19:18
8F:→ diabolica: 不用04/22 20:39
9F:→ ck960785: 你揭开没有修养的人的隐私 你想他会对你做甚麽事情?04/22 21:51
这也是我考虑的点之一,
但我自己的资讯也被公开了QQ
10F:推 Nigger5566: 怎麽听起来像瑟瑟的网站04/22 21:53
※ 编辑: a25ptt (36.235.135.113 台湾), 04/22/2023 22:23:19
11F:推 loadingN: 分04/22 22:38
12F:→ knives: 不需要回报阿04/23 01:22
13F:→ Hecc: 当做不知道04/23 03:15
14F:推 Lomonosov: 我遇过对方回答这是feature的04/23 09:20
这回答也太令人意外了吧
※ 编辑: a25ptt (36.235.135.113 台湾), 04/23/2023 19:45:59
15F:推 jobintan: 没bounty就别了,不然只是自找麻烦,不值得呢。04/24 07:58
16F:推 justaID: 原po不想自己的资讯也在裸奔,所以很想回报吧04/24 08:48
没错,而且同时还能看到他人的数据
17F:→ ChungLi5566: 对 我就是查到我的个资裸奔了才回报客服04/24 13:37
18F:→ ChungLi5566: 然後子龙也没回覆我 隔两天再上去看已经补好了04/24 13:39
大大真幸运,
我在google上有看到其他子龙的回报案例,
直接先锁帐再说…….
19F:→ Csongs: 先全捞出来04/24 19:04
※ 编辑: a25ptt (36.235.110.63 台湾), 04/24/2023 19:13:02
20F:嘘 final01: 你回报是想干嘛?? 04/26 08:37