学会摸鱼

项目 型号 价格
CPU Intel E5 2650 v2 @2.6G HZ 8 核心 16 线程 ¥350
内存 三星 ECC 32GB 1866 HZ ¥300
主板 CY － Moon 真 X79 主板 ¥265
显卡 Radeon RX 580 4 GB ¥360
硬盘 海康威视 c2000 256g SSD ¥250
机箱 Tt 开拓者 M3 ¥120
电源 爱国者 G5 ¥150
合计 ¥1795

@polaa 真的 不清楚都挺好是个什么概念 但是在这点上扣扣缩缩。可能后面有更狠的等着

换工作

泰山么

我系统还没装

二进制安全的门槛还是相对比较高的
1.《 reverse engineering for beginners 》
《 0day 安全软件漏洞分析技术》
相关汇编
2. 谷歌?
3. 看雪 freebuf 先知 etc
4. 相对还是 OK 的,至少没那么内卷

搜了一下 parallel 最近有一个 CVE-2020-8871 逃逸漏洞,不清楚是不是有人为此开发了 exp

mac 相对于 windows 还是安全的

所以你们的父母在摆布你们的态度

挺没意思的

打着 soulmate 的旗号收割而已

直接去健身房 找那些撸铁的大肌霸, 据说都很友好 不过我没尝试过🤣

@zgzhang 对 明明其实是平台的问题

大概同 ip 或者同账号历史有搜索过相关关键词🤣

@chinvo 本条明确了第三方组织或个人发布网络安全漏洞信息的原则和要求。



网络漏洞信息发布不当，可能会危害国家安全、社会安全、企业安全和用户安全。本条的直接上位法条文依据为《网络安全法》第二十六条，“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”具体规制内容沿用了《漏洞管理规范（征求意见稿）》第 5.5 条的思路，包括网络安全漏洞发布对象、发布方式、发布的原则要求和发布的具体要求四点。



第一点，发布对象，第三方组织或个人，即开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织和个人。



第二点，发布方式，通过网站、媒体、会议等方式向社会发布，主要指向公开发布的形式。



第三点，发布的原则要求，遵循必要、真实、客观、有利于防范和应对网络安全风险的原则。漏洞信息涉及的目标对象、风险情况描述等应真实客观，不得发布虚假、容易引起误解和恐慌和用于打击竞争对手等不正当竞争目的等的网络安全漏洞信息。



第四点，发布的具体要求，包括“三不得”和“一同步”。



“三不得”规范了发布时间、发布的真实客观性和发布内容，具体包括：



第一，发布时间要求，不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息。该项要求与本规定第三条第二项相关联，参照了《中国互联网协会漏洞信息披露和处置自律公约》（以下简称“《漏洞披露和处置自律公约》”）第十一条适时披露原则的精神，但对具体时间节点进行了明确规定。需要探讨的点在于，该项似乎隐含如果该等漏洞信息无需用户或相关技术方采取漏洞修补或防范措施，网络产品、服务提供者和网络运营者可以不向社会或用户发布，由此也能限制第三方组织或个人向社会发布网络安全漏洞信息；



第二，发布的真实客观性要求，沿用了《漏洞管理规范（征求意见稿）》 5.5.1b)条和《漏洞披露和处置自律公约》第十一条客观原则要求的思路，漏洞信息涉及的目标对象、风险情况描述等应真实客观，不得将漏洞潜在风险作为网络攻击事件进行发布和诱导，不得刻意夸大漏洞的危害和风险，避免引起媒体舆论和社会公众的误读和恐慌；



第三，发布内容要求，沿用了《漏洞管理规范（征求意见稿）》 5.5.1c)条的思路，旨在防止为相关漏洞被违法违规利用提供帮助的行为。需要进一步探讨的是，这里的“专门”的限定是否有必要？实践中有多大概率会专门发布从事危害网络安全活动的方法、程序和工具？。



“一同步”，即同步发布漏洞修补或防范措施，意味着在网络产品、服务提供者和网络运营者发布漏洞修补或防范措施之外，漏洞发布者也需要发布漏洞修补或防范措施。未决问题在于，漏洞发布者发布的漏洞修补或防范措施是否可以与网络产品、服务提供者和网络运营者发布漏洞修补或防范措施保持一致？还是需要提出同等保护效果或者更有效的修补或防范措施？

正常流程一般是挖到了不披露,联系产品,然后产品方修复 bug 之后再披露
如果联系不到产品方或者产品方不 care,那么就会提交 src,让平台和产品方扯皮,
如果产品方还是不 care 那么就披露完整的 poc.

> 监管部门鼓励第三方组织和个人及时向漏洞收集平台报送获知网络产品、服务、系统存在的漏洞情况
官方是支持向平台披露的,当然这个感觉主要指 CNVD

问题感觉在 src 平台那边

---
以及楼上有些不是很懂漏洞披露流程,说的话很不负责任
---

》 给你一些参考条款 《漏洞管理规定（征求意见稿）》里的
第三方组织 : 违反《漏洞管理规定（征求意见稿）》规定向社会发布漏洞信息的

由工业和信息化部、公安部等有关部门组织对其进行约谈；

给予行政处罚，如给予警告，处以罚款，责令暂停相关业务，停业整顿，关闭网站，吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处以罚款等；

构成犯罪的，依法追究刑事责任；

给网络产品、服务提供者和网络运营者造成经济或名誉损害的，依法承担民事责任。


（处罚依据：《网络安全法》第六十二条和第六十三条等）