[請益] 發現網站漏洞是否要回報?
小弟最近發現某個付費網站有漏洞。
該網站的某隻API內容會公開其他使用者的個資,
使用該API的內容結合該網另一隻API,
就可看到對應使用者的付費文章。
因為小弟也是該網站的使用者之一,
目前在猶豫是否要向該網站提報漏洞,
但又怕被反誣告是駭客(對象是台灣公司)。
想請問板上的大大,
我該怎麼回報此漏洞,
才能保障自己不被事後清算呢?
-----
Sent from JPTT on my iPhone
--
※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.235.135.113 (臺灣)
※ PTT 網址
推
去 HITCON zero day
感謝兩位大大幫忙,我來研究下。
※ 編輯: a25ptt (61.65.225.80 臺灣), 04/22/2023 18:15:02推
牛逼,是有一支api能把整個user table撈出來484
沒有到全部,但有很多機敏性資料。
→
我之前發現子龍網站漏洞是直接寄信給客服告訴他們怎
→
麼修
我也有想過,但該網站有點偏灰色產業 我不太敢直接聯繫對方……
※ 編輯: a25ptt (49.217.129.211 臺灣), 04/22/2023 18:57:48推
不需要 沒有獎金計畫
推
和主管說 然後大拇指和食指擺出愛心的動作
→
不用
→
你揭開沒有修養的人的隱私 你想他會對你做甚麼事情?
這也是我考慮的點之一, 但我自己的資訊也被公開了QQ
推
※ 編輯: a25ptt (36.235.135.113 臺灣), 04/22/2023 22:23:19
怎麼聽起來像瑟瑟的網站
推
分
→
不需要回報阿
→
當做不知道
推
我遇過對方回答這是feature的
這回答也太令人意外了吧
※ 編輯: a25ptt (36.235.135.113 臺灣), 04/23/2023 19:45:59推
沒bounty就別了,不然只是自找麻煩,不值得呢。
推
原po不想自己的資訊也在裸奔,所以很想回報吧
沒錯,而且同時還能看到他人的數據
→
對 我就是查到我的個資裸奔了才回報客服
→
然後子龍也沒回覆我 隔兩天再上去看已經補好了
大大真幸運, 我在google上有看到其他子龍的回報案例, 直接先鎖帳再說…….
→
※ 編輯: a25ptt (36.235.110.63 臺灣), 04/24/2023 19:13:02
先全撈出來
噓
你回報是想幹嘛??
49
[閒聊] 原價屋你家網站漏水啦==最近身邊懂一些資安的朋友發現這個 結果光是第一個 LFI 網站漏洞直到現在都還沒修 笑死 LFI 漏洞 可以藉由網頁讀取伺服器上的任意文字檔 包含伺服器設定檔、網站程式的 php 檔7
Re: [新聞] 密碼全盜光!快關iPhone「這設定」保命2021年11/28已發現這個Webkit bug,FingerprintJS回報給蘋果。2022年1/17蘋果標記為已 解決(resolved),可是目前他們測試iOS和MacOS的Safari還是會出現此問題。 此外,台灣媒體報導都說在更新釋出前只能關閉JS,但忽略原文還有一句「僅在信任的網站 開啟JS」,沒JS是要怎麼活啦。 FingerprintJS網站的原文做了demo演示這個bug,如果不怕死可以用iPhone Safari去他們3
[情報] 因嚴重IE漏洞 微軟再為Win 7發佈安全更新轉自cnBeta 簡體不喜勿點 ---- 因嚴重IE漏洞 微軟再為已停止支援的Windows 7發佈安全更新 2020年02月21日 16:45 稿源:cnBeta.COM3
[情報] macOS12.2/iOS15.3 將修正IndexedDB漏洞【情報來源】 原網址: websites-access-to-browsing-history-and-google-id-data/ (原始未刪減的網址,未提供者水桶60日) 短網址:4
[情報] Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞,恐被攻Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞,恐被攻擊者濫用,獲得高系統權限 文/周峻佑 | 2021-07-23發表 對於Windows使用者而言,這個月接連被資安研究人員發現PrintNighmare等多個漏洞,都 與列印多工緩衝處理器模組(Print Spooler)有關,攻擊者可濫用於本機提升權限(LPE ),有的甚至能用來遠端執行程式碼(RCE)攻擊。3
[情報] 微軟9月Patch Tuesday修補129個安全漏洞微軟9月Patch Tuesday修補129個安全漏洞,23個被列為重大等級 文/陳曉莉 | 2020-09-09發表 微軟於本周二(9/8)釋出9月的安全更新,總計修補了129個安全漏洞,當中有23個被列 為重大(Critical)等級,趨勢科技旗下的Zero-Day Initiative(ZDI)則將 CVE-2020-16875視為此次微軟所修補的最嚴重漏洞。3
Re: [討論] 我駭了你們網站 是不是該聘用我現在稍具規模的軟體公司都會有Bug Bounty Program 像是Google/Facebook有專門的部門處理 比較小的公司則會利用Hackerone這個平台 大概就是定義一下希望資安人員幫忙抓漏洞的網域/app3
Re: [新聞] ChatGPT會衝擊人類文明!金管會示警 金阿肥外商碼農阿肥啦!看到有人說chatGPT理財我覺得可能有用的應該是財務報表生成跟 整理,預測股市這種目前transformers based的模型在一些新的研究可能沒啥用,主因就 是語言其實某種程度是樹狀時序可以不敏感的,但時序訊號其實不是,所以AI做長序列預 測當前還有進步的空間。 還有一點就是股市其實某種程度是一種複雜賽局系統,要做長序列預測若是沒有額外更準