前几天完成了自己的小目标,写点东西记录下。之前一直尝试挖掘本校的漏洞,奈何屡屡碰壁,结果前几天运气挺好,让我给挖到了弱口令和任意密码重置漏洞,当天就写了漏洞报告。具体细节没法贴上来,这里只能附上当时漏洞报告的总结部分。
此次的漏洞挖掘,其实就是个很简单的社工,以及其它一些常规的测试思路,甚至都不需要抓包、改包,当然之前我是领略了学校对于网络安全的重视程度,一用扫描器马上就封ip,对于上次的勒索病毒WannaCry的应急响应也是非常的快,早早的贴了通知,以及相应的处理办法,实时跟进事态。不知是被16年学校被恶搞的“男女混住”事件所支配的恐惧,使学校特别重视这方面?算了,也不用纠结到底是被黑还是ps了,反正我觉得运维很OK。so,这也是我决定不提交给教育行业SRC,而是直接提交给您的原因之一,相信您收到这份报告后,会尽快安排修复,缩短应急响应时间。至于另一个客观原因:十九大的召开,许多所高校的二级域名在这段时间都给关了,包括本校,所以平台那边是暂时无法复现漏洞的。虽然目前不知道学校对这种提交漏洞行为的态度,但希望不会像我今天在freebuf上看到的一篇文章,一个大学小哥为学校提交了个注入漏洞,引发了一场撕X大战(http://www.freebuf.com/vuls/150095.html),当然要是鼓励这种无私奉献的行为,我想这算是本人给学校的第一份漏洞报告,但不会是最后一份。
报告中我也提到一些自己的担忧,但是,但是,万万没想到,在提交报告2小时后,负责运维的老师写了封感谢信过来。
人生第一次收到感谢信,确实有点被震撼到,这比提交到平台所得的金币还要值,如果说金币是对我物质上的鼓励,那这封感谢信就是对我精神上的极大鼓励,这将是我在白帽之路上继续前行的动力,也将是我向下一个小目标——python之路发起冲锋的号角!
扫一扫
2530
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
