0x00 前言
我是真不想在沉寂了两个月后发这样一篇非技术还略带娱乐的文章,毕竟在上一篇文章的时候就已经被大佬批判过了
确实没什么用,也就20w,没有达到预期的50w说实话我自己也很失望。现在也深陷难产的低谷憋不出什么新花样了,可能这就是江郎才尽吧。现在也失业在家做个废物,可能就一直这样废物下去了。可就在昨天,某服与某虾的事情又吵起来了,当然我知道这不是第一次吵了,只不过之前某服选择了花钱消灾而这次忍无可忍选择了报警。整个事情来龙去脉我大致是知道的,因为在第一次发生的时候我就被叫去帮忙做第三方漏洞技术研判,后续也对这些事情有一些了解。本来这件事吧,大体上与我无关,我可以作为一个吃瓜的一直看着就行了,但无奈这个臭虾一天到晚cue我,本来就我很看不惯他的做法了加上他每天cue我,我就得站起来说一说这个事儿。
首先我说一下之前大虾提交的第一个漏洞,一个某设备的后台ssti,这个漏洞大概效果和限制如下:
按照这个描述,懂一点技术的大概也知道这是个后台的鸡肋洞,在实战上几乎没有什么用但是本着安全和产品优化角度来看也可以认一个后台中低危的漏洞给个几百一两千的奖励,这在深信服src的规则里也有描述,常规来说是这样处理了。但是到大虾这里就不一样了,他非要说自己的漏洞多牛逼多牛逼,非要说管理员后台账号非常容易获取,认为漏洞价值不止两千块,价格谈不拢后就到github上挂起来了。看一下之前GitHub他挂了啥
你有这么多时间扯这些案例怎么不想一想这些案例和你现在提交的本质区别在哪里?利用条件场景完全不是一回事,人家这个场景非常容易实现也确实有利用价值,你提交的是什么?鸡肋中的鸡肋好吗?这放v1我连收都不收。漏洞鸡肋就算了,看看下面你做了啥
这是什么操作???漏洞详情做成NFT直接挂在GitHub售卖?还直接说是某服某设备的具体漏洞,你这不是公开售卖漏洞是什么,这不是犯罪是什么?如果所有的白帽子都和你一样,谈不拢价格就跑GitHub上公开售卖然后点操厂家,那还搞毛,大家都勒索去好了。两边通吃对不对?既可以割国外韭菜也可以勒索国内src甚至还能骗star对不对 报警抓你冤吗?一点不冤!
你现在排在sxf年度第三,几个洞加一起有六万的奖金,其中这个六万哪里来的你心里也清楚。给了你超出正常范围的奖金本身就是厂家想息事宁人,但是你并没有停手,第二次提交漏洞不通过也是挂GitHub如法炮制,你写了什么你心里清楚,由于内容涉及敏感信息我这边就不发截图了。
这个第二个是不是漏洞本身就有待推敲,据我所知是你通过作弊的方式在自己本地环境做了手脚导致某一段潜在风险代码的条件可以满足(而实际场景下是做不到的,大虾自己也没给出实际利用方式),一个都不能被实际利用的“漏洞”到你这里就可以勒索了。真有你的,要不是厂家觉得这个潜在风险点确实存在,也为了息事宁人才给了你钱,换成我我直接告你勒索了。
第三次大家也都看到了我觉得我没必要再发一遍了,同样的GitHub手法,只不过这次厂家忍无可忍报警了,并且报警告的是你第一次勒索公开exp的事情,也不是针对你这个所谓的沙箱绕过的“漏洞”。
就这个沙箱绕过,我也想吐槽一下,我都已经是超级管理员了,我本来就可以下发任何程序到客户机上进行执行,所谓的沙箱也是针对客户自己的不是针对超管的,有个白名单功能很正常因为管理员维护客户端时候需要有更高的权限。说白了这就是正常功能,因为我是超级管理员!
黑客缺的是所谓的沙箱绕过吗?黑客缺的是超级管理员账号密码!
关于漏洞利用条件和场景限制问题,我从第一次做第三方技术研判的时候就给你解释过了,你当时连内网和外网都分不清,连前台和后台都分不清。你要是真觉得自己漏洞价值不菲,建议你去提交补天、bugcloud、女娲。你在GitHub拿垃圾洞勒索厂家反复横跳恶心谁呢?
我也给大家看看你所谓的和厂家沟通是指什么,你提交漏洞的流程大致如此:
这就是你所谓的和厂家沟通过程,不是勒索是什么?我赞同白帽子拿高危漏洞去和厂家撕逼,不赞同拿着垃圾洞去勒索!但凡你有点安全从业人的技术追求,都应该在技术上有追求而不是在写小作文上下足功夫!
我也说一下白帽子和src之间我的看法。有不少人平时都挖src,也会说src坑人明明是漏洞给我忽略或者内部已知甚至是白嫖漏洞,时间久了积怨已深。看到有人和src吵架就下意识的站队白帽子这边。这些都是人之常情,但也记住不要被人利用了,不是所有的人都是弱势群体。正常来说在一个大公司的安全团队架构里,src属于安全运营团队而sdl属于应用安全团队,这两个团队的绩效是相互对立的,也就是说src收取的漏洞越多危害越大那么安全运营团队的绩效就越高,而相对的sdl团队的绩效就越低。所以src是有主观动力去帮助白帽子争取利益的,因为白帽子和src的绩效是一致的。那为什么会有src压低价格或者所谓的白嫖漏洞情况呢?主要原因大概有这么几个:
真正理解了这些原因后,只要去观察组织的结构就能知道这家src能给多少钱,给不给的公正。另外如果要提交漏洞那么怎么提交会比较划算呢?
说实话,如果一个src给你的感觉实在糟糕,那就直接放弃它,和其扯皮吵架毫无意义。如果你的漏洞是通用0day,直接提交补天、360bugcloud、女娲之类的第三方收武器的平台难道不比src利益最大化吗?那么为什么大虾不提交这些平台却选择去GitHub吵架呢?因为他的漏洞价值太低其他平台压根不收只能用来勒索厂家!
什么臭鱼烂虾也能自称赛博
问问自己对行业的技术做了什么贡献
你不服气就好好学习努力挖出pre-rce让厂家心服口服
什么时候在安全行业只需要语文学的好就是大佬了?
什么时候搞技术的要用GitHub这个技术分享平台来吵架了勒索了?
赛博?SB!
赶紧写赛博传
群友等着看连载了
最好把我写成男主然后分配十几个后宫美少女
我喜欢胸大的