白帽子与厂商battle的那些事,你是否也经历过?
“不承认漏洞就算了,他们还威胁我!你敢信?”
被误会的月神:2017年,我在提交了某个互联网新闻平台的漏洞后,立马接到了厂商的电话, “你到底是谁,你是不是要攻击我们,如果你敢乱来,我们就要报警了”,和对方解释了半天,我才发现对方根本不是该厂商SRC的对接人,只是该平台的业务人员,并且其对白帽子这一群体的性质并不了解。 被“白嫖”的Balis0ng:遇到过一些厂商,对我提交的漏洞报告置之不理,过了几天我再去检测,发现漏洞已经被修复了……我还遇到过向厂商连续提交了两个漏洞,但厂商SRC对接人表示经过开发人员鉴定,认为这两个漏洞是同一个漏洞的情况,我也是很无语。 被威胁的小七:2018年,在提交了某大厂的漏洞后,我接到了厂商的来电,他们不但不承认这是一个漏洞,还威胁我,“如果将漏洞公开,你以后不好找工作吧?”,不承认漏洞就算了,他们还威胁我!你敢信? 被“教育”的远海:在一周内提交了某教育平台的6个系统漏洞后,我被使用该教育平台的厂商运维人员“教育”了一顿。应该是一下子提交了太多的漏洞,耽误运维人员下班了,所以当时厂商的运维人员还特地通过ID找到我,把我说了一顿。 被误会可以选择解释、被“教育”可以选择体谅、可是当被“白嫖”和威胁时,白帽子也只能选择自认倒霉吗?“是的,没错,遇到了也就只能自己吃了这个亏,也没有任何办法,但是好在大多数正规的厂商,不会这样对我们”,Balis0ng说道。 接受采访的这四位白帽子,在向厂商提交漏洞时,均吃过不少“哑巴”亏,即使在厂商不愿意承认他们提交的漏洞时,他们也从来没有想过要私曝漏洞,究其原因,是他们对正义那颗初心的坚守,也是因为他们深知,这种行为不但会将本来有理的他们推向无理的边缘,他们还要承担被追究法律责任的风险。因此,要从根本上避免白帽子私曝漏洞事件的发生,除了法律法规的完善和普及,还需要各大厂商一同努力。 (编辑:52站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |