小弟最近發現某個付費網站有漏洞。
該網站的某隻API內容會公開其他使用者的個資,
使用該API的內容結合該網另一隻API,
就可看到對應使用者的付費文章。
因為小弟也是該網站的使用者之一,
目前在猶豫是否要向該網站提報漏洞,
但又怕被反誣告是駭客(對象是台灣公司)。
想請問板上的大大,
我該怎麼回報此漏洞,
才能保障自己不被事後清算呢?
-----
Sent from JPTT on my iPhone
--
[請益] 發現網站漏洞是否要回報?
軟工
18101
小弟最近發現某個付費網站有漏洞。
該網站的某隻API內容會公開其他使用者的個資,
使用該API的內容結合該網另一隻API,
就可看到對應使用者的付費文章。
因為小弟也是該網站的使用者之一,
目前在猶豫是否要向該網站提報漏洞,
但又怕被反誣告是駭客(對象是台灣公司)。
想請問板上的大大,
我該怎麼回報此漏洞,
才能保障自己不被事後清算呢?
-----
Sent from JPTT on my iPhone
--
FXW113141樓https://zeroday.hitcon.org/ 04/22 18:09
zrna05152樓去 HITCON zero day 04/22 18:09
感謝兩位大大幫忙,我來研究下。
qwe703023樓牛逼,是有一支api能把整個user table撈出來484 04/22 18:19
沒有到全部,但有很多機敏性資料。
→ ChungLi55664樓我之前發現子龍網站漏洞是直接寄信給客服告訴他們怎 04/22 18:48
→ ChungLi55665樓麼修 04/22 18:48
我也有想過,但該網站有點偏灰色產業
我不太敢直接聯繫對方……
s8601346樓不需要 沒有獎金計畫 04/22 19:04
jej7樓和主管說 然後大拇指和食指擺出愛心的動作 04/22 19:18
→ diabolica8樓不用 04/22 20:39
→ ck9607859樓你揭開沒有修養的人的隱私 你想他會對你做甚麼事情? 04/22 21:51
這也是我考慮的點之一,
但我自己的資訊也被公開了QQ
Nigger556610樓怎麼聽起來像瑟瑟的網站 04/22 21:53
loadingN11樓分 04/22 22:38
→ knives12樓不需要回報阿 04/23 01:22
→ Hecc13樓當做不知道 04/23 03:15
Lomonosov14樓我遇過對方回答這是feature的 04/23 09:20
這回答也太令人意外了吧
jobintan15樓沒bounty就別了,不然只是自找麻煩,不值得呢。 04/24 07:58
justaID16樓原po不想自己的資訊也在裸奔,所以很想回報吧 04/24 08:48
沒錯,而且同時還能看到他人的數據
→ ChungLi556617樓對 我就是查到我的個資裸奔了才回報客服 04/24 13:37
→ ChungLi556618樓然後子龍也沒回覆我 隔兩天再上去看已經補好了 04/24 13:39
大大真幸運,
我在google上有看到其他子龍的回報案例,
直接先鎖帳再說…….
→ Csongs19樓先全撈出來 04/24 19:04
final0120樓你回報是想幹嘛?? 04/26 08:37