V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
cnskis
V2EX  ›  问与答

提交漏洞直接给厂商还是给 CNVD?

  •  
  •   cnskis · 2020-02-23 11:28:24 +08:00 · 5217 次点击
    这是一个创建于 1743 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如果我找到了教务系统漏洞,是给 cnvd 还是学校还是厂商?
    并不是很严重,只是泄露全部学生信息。

    33 条回复    2020-03-12 18:48:36 +08:00
    jangit
        1
    jangit  
       2020-02-23 11:36:29 +08:00 via iPhone   ❤️ 8
    建议不要提供
    曾几何时,有个站叫乌云
    just1
        2
    just1  
       2020-02-23 11:37:28 +08:00 via Android
    cnvd 一般是通用型漏洞吧
    教务系统厂商不会鸟你
    学校到还靠谱一点
    Zy143L
        3
    Zy143L  
       2020-02-23 11:37:50 +08:00 via Android
    本校学生就提交给本校的信息处
    外校的...你还是自己留着吧
    cnskis
        4
    cnskis  
    OP
       2020-02-23 11:38:13 +08:00   ❤️ 1
    @jangit 我以前就是乌云的。。

    @just1 学校不知道会不会重视。。
    cnskis
        5
    cnskis  
    OP
       2020-02-23 11:39:47 +08:00
    @Zy143L 自己留着可还行 0.0
    @just1 通杀型的,对应理论上全部可以炸
    just1
        6
    just1  
       2020-02-23 11:42:32 +08:00 via Android
    @jangit 说实在话,如果在当时,除非为了邀请码,否则作为本校学生最好不要提交乌云,因为学校一般不修或者联系不到,30 天之后所有人都知道可以获取你的信息了。我当时升级的动力就是提前查看漏洞。rank 也不高,学校的能有 3 就差不多了。
    uxstone
        7
    uxstone  
       2020-02-23 11:44:20 +08:00   ❤️ 1
    可能你认为这是漏洞,学校认为你是在没事找事
    吃力不讨好
    jugelizi
        8
    jugelizi  
       2020-02-23 11:45:00 +08:00
    不建议提交任何地方
    前车之鉴 之前有个学生也是提交了学校没处理 后来被别人攻击
    学校想起来就处分了这个学生
    jangit
        9
    jangit  
       2020-02-23 11:45:30 +08:00 via iPhone
    @just1 乌云现在又开了吗,看来终于升级完了
    just1
        10
    just1  
       2020-02-23 11:46:29 +08:00 via Android
    @cnskis 通用型 cnvd 说不定还能有小证书呢
    360 补天也可以考虑一下
    just1
        11
    just1  
       2020-02-23 11:46:37 +08:00 via Android
    @jangit 没开
    cnskis
        12
    cnskis  
    OP
       2020-02-23 11:54:19 +08:00
    @uxstone 我自己学校之前提了之后当天就改了
    @jugelizi 就让它一直存在?这样不是隐患吗。
    @just1 乌云在的时候我去补天看过,对补天没感觉。。。
    jerryrib
        13
    jerryrib  
       2020-02-23 11:55:37 +08:00
    开门,查水表
    cnskis
        14
    cnskis  
    OP
       2020-02-23 12:03:57 +08:00
    @jerryrib 水表在外面,开不得门
    b1rdb0y
        15
    b1rdb0y  
       2020-02-23 12:18:51 +08:00 via Android
    建议 cnvd
    javashell
        16
    javashell  
       2020-02-23 12:21:12 +08:00 via Android
    这算是通用型漏洞吧,要提交也提交到 cnvd 之类的平台,
    个人建议不提交,省的吃力不讨好
    guog
        17
    guog  
       2020-02-23 12:28:30 +08:00 via Android
    @cnskis 开门,量体温😂
    crella
        18
    crella  
       2020-02-23 12:29:54 +08:00 via Android
    临毕业前,我校教务处新闻的不显眼的栏目有几条菠菜广告,笑死
    rayhy
        19
    rayhy  
       2020-02-23 12:30:46 +08:00 via Android   ❤️ 3
    🤣直接提权帮学校改了代码可能更快
    zsmj1024
        20
    zsmj1024  
       2020-02-23 12:35:59 +08:00 via iPhone
    教育行业漏洞报告平台 https://src.sjtu.edu.cn
    virusdefender
        21
    virusdefender  
       2020-02-23 12:41:31 +08:00
    楼上正解,教育网 src
    shansing
        22
    shansing  
       2020-02-23 12:57:18 +08:00
    教育网 src,然而学校也并不一定修。#6 说的还是有道理。
    cnskis
        23
    cnskis  
    OP
       2020-02-23 13:25:17 +08:00
    @b1rdb0y 可以考虑
    @javashell 我没法做更多的验证
    @guog 我自己查了-.-
    @crella 还好我校没有这个,xswl
    @rayhy 提不得,没敢深入了。
    @zsmj1024 可以,我看看
    @virusdefender 以前居然不知道,只上乌云
    @shansing 有的学校还是会修的。
    ic2y
        24
    ic2y  
       2020-02-23 17:00:12 +08:00
    @cnskis 提给学校吧。教务系统,一般是自研,或者付费购买的。 以前 wooyun 还在的时候,看到过几个《方正教务系统,新开普教务系统》的漏洞,感觉也没有人管,还要被公开漏洞细节。

    提给学校的话,直接说你拿到数据的步骤,然后提供一个泄露数据的截图 警告下 就好了。 当初我也发现了一些校务漏洞,用匿名邮件的方式发给学校,学校还邀请我去喝茶谈谈。我没胆去,只是邮件回复保证数据我都没有保留,后来漏洞还是悄悄修了。
    kernelpanic
        25
    kernelpanic  
       2020-02-23 17:25:24 +08:00
    装作没看到,否则 3 年有期徒刑
    cnskis
        26
    cnskis  
    OP
       2020-02-23 17:36:12 +08:00
    @ic2y 买的,这个我知道,学校应该叫厂商修。
    @kernelpanic 我丢,3 以上 5 以下。
    mXw
        27
    mXw  
       2020-02-23 18:09:52 +08:00
    cnvd 吧
    playniuniu
        28
    playniuniu  
       2020-02-23 19:23:48 +08:00
    别没事找事,想想给世纪佳缘提交漏洞的那个哥们出来没?
    MeteorCat
        29
    MeteorCat  
       2020-02-23 19:26:29 +08:00 via Android
    我个人感觉哈,这种还是别出头;这种教务系统本来错漏百出,或许你提交了以后又爆出问题,他们指不定第一个报警就把你抓起来
    mcone
        30
    mcone  
       2020-02-23 19:26:45 +08:00
    不建议提交,别没事找事

    既然你都是乌云年代过来的了,这点自我保护意识都没有?
    cnskis
        31
    cnskis  
    OP
       2020-02-23 19:33:52 +08:00
    @mXw 我再想想,考虑利弊。
    @playniuniu 可惜了乌云,我还有乌云币。
    @MeteorCat 有道理。
    @mcone 放在那是个隐患。。。-.-
    illl
        32
    illl  
       2020-03-12 18:40:31 +08:00
    还好我们学校有专门的信息安全中心,里面的老师也比较重视安全,提交的漏洞都会及时被修复。如果是本校的建议直接校内处理了,校外的还是交给漏洞平台。
    cnskis
        33
    cnskis  
    OP
       2020-03-12 18:48:36 +08:00
    @illl 快一个月的帖子让你挖了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2730 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 09:27 · PVG 17:27 · LAX 01:27 · JFK 04:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.