作者 a25ptt (dkbd)標題 [請益] 發現網站漏洞是否要回報?時間 Sat Apr 22 18:02:47 2023
小弟最近發現某個付費網站有漏洞。
該網站的某隻API內容會公開其他使用者的個資,
使用該API的內容結合該網另一隻API,
就可看到對應使用者的付費文章。
因為小弟也是該網站的使用者之一,
目前在猶豫是否要向該網站提報漏洞,
但又怕被反誣告是駭客(對象是台灣公司)。
想請問板上的大大,
我該怎麼回報此漏洞,
才能保障自己不被事後清算呢?
-----
Sent from JPTT on my iPhone
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.235.135.113 (臺灣)
※ 作者: a25ptt 2023-04-22 18:02:47
※ 文章代碼(AID): #1aGx39GI (Soft_Job)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1682157769.A.412.html
推 zrna0515: 去 HITCON zero day2F 04/22 18:09
感謝兩位大大幫忙,我來研究下。
※ 編輯: a25ptt (61.65.225.80 臺灣), 04/22/2023 18:15:02
推 qwe70302: 牛逼,是有一支api能把整個user table撈出來4843F 04/22 18:19
沒有到全部,但有很多機敏性資料。
→ ChungLi5566: 我之前發現子龍網站漏洞是直接寄信給客服告訴他們怎麼修4F 04/22 18:48
我也有想過,但該網站有點偏灰色產業
我不太敢直接聯繫對方……
※ 編輯: a25ptt (49.217.129.211 臺灣), 04/22/2023 18:57:48
推 s860134: 不需要 沒有獎金計畫6F 04/22 19:04
推 jej: 和主管說 然後大拇指和食指擺出愛心的動作7F 04/22 19:18
→ ck960785: 你揭開沒有修養的人的隱私 你想他會對你做甚麼事情?9F 04/22 21:51
這也是我考慮的點之一,
但我自己的資訊也被公開了QQ
※ 編輯: a25ptt (36.235.135.113 臺灣), 04/22/2023 22:23:19
→ knives: 不需要回報阿12F 04/23 01:22
→ Hecc: 當做不知道13F 04/23 03:15
推 Lomonosov: 我遇過對方回答這是feature的14F 04/23 09:20
這回答也太令人意外了吧
※ 編輯: a25ptt (36.235.135.113 臺灣), 04/23/2023 19:45:59
--