先說一下對事不對人。

?

參加雙11保衛(wèi)戰(zhàn)活動，針對活動我們發(fā)生的事情，而不是針對src

事情還得從6號提交菜鳥的漏洞說起。

提交了個漏洞因為怕不穩(wěn)，把2個大洞打包提交了，然后19號收到消息內(nèi)部已知，內(nèi)部已知的聊天記錄也是說了下這個業(yè)務(wù)情況，說是灰度中。

?

?

然后我覺得從這個對話中好像是已經(jīng)修復了，

菜鳥那邊回答我說正在灰度，下周如果還可以復現(xiàn)那他們承認這個漏洞，我想算了就這樣吧。

?

?

然后中間又提了2個洞。

一個是內(nèi)部已知，我去問的時候說是人工安全意識薄弱不屬于漏洞；

再有一個是不是菜鳥的業(yè)務(wù)，他們雙十一保衛(wèi)戰(zhàn)的公告范圍寫錯了。

?

拜托我就想挖一個高危而已，這是干啥呢？

我覺得那老天都不幫我，我還測個啥呢，玩吧。

所以接下來的時候天天無限火力，不得不說無限火力真香。

就在昨天突然想到了上周的那句話如果還可以，我們還認可的。

我尋思那試試唄，夢想不能沒有，萬一實現(xiàn)了呢？

于是就去問了一下上周的話還算數(shù)嗎，然后截圖給他告訴他還是可以復現(xiàn)的。

?

?

接下來居然問我是在小程序還是app，這個就尷尬了，難道當初都不知道我這個漏洞問題在哪里就內(nèi)部已知了嗎。。

然后提交的2的打包漏洞只修復了其中一個，因為另一個比較隱蔽。接下來他打算自己復現(xiàn)一下是否還存在這個問題。而且再次說我們認的。

這里給他點個贊，起碼當時以他自己的想法是覺得應(yīng)該認的。

?

?

然后經(jīng)過復現(xiàn)后他確認了這個問題，于是就去和阿里說明了一下情況看看他們應(yīng)該怎么處理一下。

?

?

整個過程看下來就是內(nèi)部已知，然后承諾下周修復，我去復現(xiàn)結(jié)果只修了一個明顯的地方就是我在報告中詳細寫的那個接口被修復了。

而我沒有寫的這個接口但是在漏洞報告中提到的這個并沒有修復，中途也能看出來他們連app或者小程序哪個存在問題都分不清楚，到最后真的給我確認了漏洞，然后。。。

?

?

日子還得過，我一個小人物也沒想過能對抗誰，以后漏洞該挖還得挖不是嗎。

但是請允許我作為一個打工人的抱怨，我還是想試試對抗一下這些不公。

最后，對事不對人。他的確是一直在幫我復現(xiàn)這個漏洞也承認了，我相信我敗給的絕對不是個人，而是體系。

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結(jié)

以上是生活随笔為你收集整理的src漏洞挖掘|一个谎言需要无数谎言来弥补的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。