作为一名白帽子给src挖漏洞本身是一个善意的事情,希望甲方安全越来越安全。
这篇文章 只涉及漏洞等级,不涉及漏洞细节。
这几天给焦点科技挖了10几个比较核心严重的漏洞(都是公司最敏感的核心数据)。
漏洞原理 差不多是 给客服系统发了个xss地址,我就进去他们内部系统。(漏洞细节不是这个)
他们审核说是社工造成的 就把我提交的所有核心严重漏洞全部忽略,然后给个几百 或者几千的额外奖励。
我认为呢这不是社工造成的,社工是针对人的漏洞,这个主要是程序的原因。给审核解释了半天,审核不听。
就这样以社工这个名义忽略了我所有的漏洞。
我现在也不想图啥漏洞奖励,只觉得焦点科技的安全团队 安全意识太弱,如果一个黑客利用了就不是这样一个结果。
网友评论