V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Chaconne
V2EX  ›  程序员

想在 github 上发布某视频监控产品的漏洞/设计缺陷

  •  
  •   Chaconne · 2022-06-15 23:17:08 +08:00 · 3021 次点击
    这是一个创建于 896 天前的主题,其中的信息可能已经有所发展或是发生改变。

    酝酿了一些时间想在 github 上发布某视频监控产品的漏洞,或者说是设计流程安全缺陷————任意可重置管理员密码。但是对 github 不熟悉,英文也不好哈,不知道怎么填写~~ 本人高中学历,非程序员专业 /工作 https://ibb.co/CHztmS9

    25 条回复    2022-06-16 20:05:03 +08:00
    x86
        1
    x86  
       2022-06-15 23:19:26 +08:00
    我擦,这个好东西呀,坐等公开
    dangyuluo
        2
    dangyuluo  
       2022-06-15 23:20:44 +08:00
    确定是设计缺陷么。。
    Chaconne
        3
    Chaconne  
    OP
       2022-06-15 23:21:10 +08:00
    @x86 很简单的,没技术含量,只是技巧和熟悉产品
    quzard
        4
    quzard  
       2022-06-15 23:21:18 +08:00 via iPhone
    这不太道德吧,如果被人拿去滥用了话,建议还是告诉厂商修复吧
    darkengine
        5
    darkengine  
       2022-06-15 23:21:27 +08:00
    建议先打电话给厂家
    crab
        6
    crab  
       2022-06-15 23:21:33 +08:00
    官方网站不是有上报渠道吗
    Chaconne
        7
    Chaconne  
    OP
       2022-06-15 23:22:31 +08:00
    @dangyuluo 是的,去年电话反馈过,他们的意思是:民用 /家庭级的产品就这样,大有“我们就不改了”,但是金融、能源行业用的产品不按这套流程走,比较安全
    Chaconne
        8
    Chaconne  
    OP
       2022-06-15 23:23:03 +08:00
    @quzard 详见我刚回复另一兄 dei 的
    Chaconne
        9
    Chaconne  
    OP
       2022-06-15 23:23:15 +08:00
    @darkengine 详见我刚回复另一兄 dei 的
    hs0000t
        10
    hs0000t  
       2022-06-15 23:37:27 +08:00 via Android   ❤️ 6
    一句话 保护好隐私
    关键词乌云 世纪佳缘
    psydonki
        11
    psydonki  
       2022-06-15 23:42:14 +08:00   ❤️ 1
    github 上中文的内容也很多,新建一个公开的仓库,修改 readme.md 就可以。
    有监督才会有进步
    Les1ie
        12
    Les1ie  
       2022-06-16 01:02:14 +08:00   ❤️ 6
    如果厂商不管的话,推荐的流程是报给 CNVD ,由上级去推动厂商修复漏洞,还可以奖励你一个证书 :)

    https://www.cnvd.org.cn/

    你已经联系厂商了,厂商不受理,按理说你这已经是负责任的漏洞披露流程了,可以在其他平台公开这个漏洞。

    但是,我个人不建议直接公开这个漏洞,毕竟如果漏洞影响面比较大,那么受影响的是普通用户,不如让漏洞一直存在下去吧,知道的人越少越好。 老产品存在不被修复的漏洞是很普遍的,只要不被发现、不被公开,影响还是比全网公开更小的。
    chendy
        13
    chendy  
       2022-06-16 07:56:06 +08:00
    公开了之后厂商怎么样不好说
    普通用户可能就遭殃了
    flyqie
        14
    flyqie  
       2022-06-16 08:13:33 +08:00 via Android   ❤️ 4
    如果你有临时修补方案,请谨慎公开漏洞细节和 POC ,因为某些用户可能无法及时了解到该信息并予以修补。

    如果你没有临时修补方案,请永远不要公开漏洞细节和 POC ,厂商不负责任不代表用户需要承担因你而造成的风险。

    一旦公开漏洞细节和 POC ,该漏洞的利用门槛将显著降低。

    前几楼老哥已经发了相关地址了,建议向上级反馈推动厂商积极性。

    感谢你做出的努力。
    darkengine
        15
    darkengine  
       2022-06-16 08:43:58 +08:00
    要么向相关部门报备,不然到时候公布了造成损失厂家还倒打一耙
    czfy
        16
    czfy  
       2022-06-16 10:09:40 +08:00
    以前还有乌云,现在毛都没有了
    tuutoo
        17
    tuutoo  
       2022-06-16 10:10:07 +08:00
    建议直接联系厂家试试 说不定给你奖励呢
    发 github 有啥好处 还可能被有居心的人拿去滥用.
    catsoul
        18
    catsoul  
       2022-06-16 10:16:08 +08:00
    @tuutoo OP 联系过了,海康的态度是无所谓,没必要改。所以 OP 才考虑要不要公开
    q1angch0u
        19
    q1angch0u  
       2022-06-16 10:19:20 +08:00 via iPhone
    网络安全法关注一下…小心别进去了
    iTakeo
        20
    iTakeo  
       2022-06-16 11:20:19 +08:00
    别人能重置密码?家里两台萤石的。说的有点担心了啊
    baobao1270
        21
    baobao1270  
       2022-06-16 11:46:26 +08:00   ❤️ 2
    建议虚拟机操作,TOR 注册 github 小号,该账号用后即弃。
    jackma0571
        22
    jackma0571  
       2022-06-16 15:27:39 +08:00
    怎么操作,捅设备上的 reset 孔?
    lance86
        23
    lance86  
       2022-06-16 17:41:24 +08:00
    不知道这个漏洞会不会被大规模的远程利用。如果可以远程利用,普通用户要遭殃。
    主要是就算厂商修复了,绝大多数普通用户还是得不到通知,或者知道了也不会去修复。
    另外说一句厂商对自己的 bug 是这种态度,就是在助长黑产。
    Jooooooooo
        24
    Jooooooooo  
       2022-06-16 19:00:50 +08:00
    这么说吧, 这是违法的.
    mritd
        25
    mritd  
       2022-06-16 20:05:03 +08:00 via iPhone
    兄弟 今天有个哥们跟你一样,也是被深信服反手就给搞了,慎重啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1078 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 90ms · UTC 19:30 · PVG 03:30 · LAX 11:30 · JFK 14:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.