用户
搜索
回帖奖励 220 魔法币 回复本帖可获得 10 魔法币奖励! 每人限 1 次
  • TA的每日心情
    开心
    2020-7-10 11:19
  • 签到天数: 3 天

    连续签到: 1 天

    [LV.2]偶尔看看

    管理员

    Rank: 9Rank: 9Rank: 9

    95

    主题

    419

    帖子

    2435

    魔法币
    收听
    1
    粉丝
    6
    注册时间
    2019-5-7

    i春秋认证荣誉管理

    发表于 2020-8-6 14:30:07 4611889
    中奖名单公布
    恭喜2楼的HAI_表哥斩获奖品(回答的很优秀)
    1.png


    奈何有的表哥回复也不错,所以村长决定临时加奖品
    恭喜1楼的小透明yo和5楼的挖低危的清风获得i春秋定制礼品
    2.png 3.png

    以上三位表哥联系村长QQ或者微信领取奖品



    经常挖洞的表哥都知道

    有些第三方漏洞响应平台的审核大佬

    会对一些提交的漏洞压低危害或降级

    你是选择口吐芬芳和大佬进行battle呢?

    还是坐下来好好的和审核大佬解释这个漏洞的具体危害?

    或者你有什么好的沟通技巧或者睡(shui)服审核大佬的方式?

    今天,大家就畅所欲言分享自己的交流经验吧~

    当然,认真回复的表哥,村长会安排礼物赠送!

    Tips:涉及隐私信息请自觉打码~

    话题:#如何愉快的和第三方漏洞响应平台审核大佬进行交流沟通?#

    活动时间:2020年8月6日-8月13日

    奖励:每个回复都有10魔法币奖励

    ↓ 此外村长会挑选最走心的回帖奖励如下

    北海巨妖.jpg

    雷蛇Razer北海巨妖X耳机

    让我们一起干大事!
    有兴趣的表哥加村长QQ:780876774!

    回帖奖励 +10 魔法币

    本帖最后由 小透明yo 于 2020-8-6 09:53 编辑

    一般会选是解释与沟通,尝试说服对方。当然有的SRC不是想压价,而是真的没经费,比如XX。通常你觉得给低了的原因都是没有证明出危害,比如Getshell评级为高危。但是此时可以和审核进行沟通说明Getshell之后会做的步骤,审计等等一般闭源程序有代码实际上就等于有RCE了,比如某个CMS因为伪全局的开启导致变量覆盖使得WAF无效,这样到处都是SQL注入,在一审的时候审核人员评定1000。但是此时联系后截取代码片段进行说明,然后“友好沟通”后审核修改了最终决定。当然还有一些审核是没办法沟通的,这种建议不了了之就行了,没必要去吵架(通常是应届生)。就比如之前挖到一个SSRF,明明可以扫描到内网端口等信息,但是审核强行说有网络隔离。这种是无解的,因为你根本不在他们内网没办法确认,就算你认为是但是别人才是审核。这种情况可以适当的服软,比如麻烦审核大哥在看看这些话之类的,千万不要喷人,喷人那就真的一点余地了都没有了
    使用道具 举报 回复
    发表于 2020-8-6 15:08:40

    回帖奖励 +10 魔法币

    本帖最后由 HAI_ 于 2020-8-6 09:58 编辑

    为了世界和平,我们当然要好好的沟通一下,不然到手的票子不就飞了

    沟通

    1.礼貌

    个人认为礼貌是必备的,该尊称的尊称的,该问好的问好

    2.清楚的描述事情

    理清楚自己的逻辑,可以按照因果关系描述漏洞的危害度以及为什么危害比评判高的理由,如果有理有据的话,src也不可能完全不讲道理。(特殊情况除外)

    3.感情牌

    如果有能力可以打感情牌,可以考虑shui服,或者逢年过节问个好也不是啥难事

    完善

    1.细节决定成败

    提交漏洞的时候一定要写清楚,关键步骤的截图一定要截好,尤其是有数据的地方一定要截清楚,很多src只认数据,数据才是王道啊,没数据的话回头说我们只认数据,接口未授权也可以定为低危~

    2.漏洞利用

    找到一个漏洞的话,不要着急提交,慢慢发掘看是否可以组合利用,不然的话效率高的src分分钟就给修复了

    以上内容仅供参考~说错的地方还请见谅

    论如何学习,我们来聊一聊经验呀784278256
    使用道具 举报 回复
    发表于 2020-8-6 15:23:13

    回帖奖励 +10 魔法币

    卖萌算不算{:9_261:}
    使用道具 举报 回复

    回帖奖励 +10 魔法币

    做pd给我最好的经验就是battle能力,之前和客户研发经常battle,所以现在和审核讲起道理来不急不慢,有条有理,就连1234都要列出来,审核提出反对意见我也不慌,我们慢慢聊洗洗脑
    使用道具 举报 回复

    回帖奖励 +10 魔法币

    都习惯了也不想点名了,就说说怎么尽量去避免一个有效的漏洞,被忽略或者被降级吧。
    首先一点,漏洞利用一定要写清晰,将漏洞每一步的利用都进行完整的阐述。如果SRC平台的编辑器不好用,建议直接本地用word 或者 MD 写完整后提交给审核。并且漏洞证明一定要证明其危害性,如果你找到一个XSS ,但是你只试了 alert(1) 这种,没有去尝试将 cookie 打到自己的平台。就提交了的话,很有可能别人是设置了httponly的。审核就很有可能进行降级处理。甚至忽略。
    然后:大部分被忽略的漏洞,可能都是一些中低危漏洞,如果你都直接getshell 了。审核也不可能给你降级或忽略了。那么对于我们来说,中低危的漏洞,其实直接提交也没多少奖励,不如试试拓宽思路。将多个漏洞形成一个完整的组合拳提高漏洞的危险程度。一个巧妙的漏洞利用链构造完成的话,不仅对自己会有成就感,对你的荷包也是同样的。
    最后,一定不要妥协,如果你觉得你有理,你的发现漏洞确实存在风险,那就勇敢和审核进行battle。要么他说服你,要么你说服他。
    白帽本就不易,希望世(厂)界(商)能多多善待。
    使用道具 举报 回复
    发表于 2020-8-6 16:37:37

    回帖奖励 +10 魔法币

    拿着斧头上门
    使用道具 举报 回复
    发表于 2020-8-6 20:09:01

    回帖奖励 +10 魔法币

    直接开骂,不行就内网脱裤,删库
    使用道具 举报 回复
    发表于 2020-8-6 20:18:47

    回帖奖励 +10 魔法币

    首先肯定是要闹(唠)一闹(唠),然后唠好了就成了,唠不好,咱可以拎着灭火器过去
    我记得之前挖了个漏洞提交给漏洞盒子,复现的好好地,结果就直接说漏洞关闭,积分都没有加。我当时上去看了一下,关闭个锤锤,还是复现了,然后我就去跟他审核客服唠了半天,然后他跟我说:你在网站目录下面建立个txt我就给你奖励,emmm。搞了半天原来是有个360~,最后用低权限的shell给他加了个TXT,成功蒙混过关!
    末心网络安全团队 | Q群374327762
    使用道具 举报 回复
    天析 i春秋作家 北极边界安全团队负责人 春秋文阁 春秋游侠 突出贡献 积极活跃奖
    9#
    发表于 2020-8-6 21:42:51

    回帖奖励 +10 魔法币

    src的好处就是为了减少漏洞造成的经济损失,大家懂我意思吧
    做一个有格调的程序猿 - (๑•̀ㅂ•́)و✧
    使用道具 举报 回复
    发表于 2020-8-7 07:42:05

    回帖奖励 +10 魔法币

    最好的沟通方式就是不沟通,用实力压制他的权力~
    苟非吾之所有,虽一毫而莫取
    使用道具 举报 回复
    发表于 2020-8-7 10:37:53

    回帖奖励 +10 魔法币

    挖洞5分钟 沟通3小时
    这种沟通技巧只能说治标不治本
    如何治本
    路漫漫其修远兮
    使用道具 举报 回复

    回帖奖励 +10 魔法币

    沟通不行就撒娇
    使用道具 举报 回复

    回帖奖励 +10 魔法币

    奥利给  冲呀  干呀  不给就 不挖呀
    使用道具 举报 回复
    发表于 2020-8-7 14:39:51

    回帖奖励 +10 魔法币

    1.发个红包2.甩出来问题3.感谢大佬
    使用道具 举报 回复
    1234下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册