最近快到端午节了,话说不想混粽子的安全人员不是一个好的安全人员,而且最近这个ISRC【合合安全应急响应中心】,各大公众号都在推广,这不撸一波,实在可惜了。
点进去一看,门槛还很低,提交一个有效漏洞就有奖励,这混个低危不就妥妥的吗,这我作为新一代社会主义接班人,年纪轻轻,这应该把握得住吧。
为了以防被白嫖翻车,我特地去看了最新的评分标准,尤其是里面的低危标准,没办法,我菜,只能挖挖低危。
这标准一看,好家伙,反射型XSS也收,这粽子不妥妥的到手了吗?于是我用了10分钟迅速的挖了一个路径泄露,这个漏洞属于低危标准中的第二条中的轻微信息泄露漏洞的路径泄露。粽子到手,马上就撤,匆匆写了个报告之后我就睡觉了。
第二天下班回家,发现漏洞被忽略了,纳尼,这标准上的也能被忽略,于是果断走上了协调之路。【感谢群里某位热心群众的帮助,加上了合合安全应急响应中心的审核】
接下来就是对线了。
对线的第一波,双方正常发育,和平补兵,我礼貌询问,对方礼貌回复。
对线第二波,对方开始用【明朝说清朝的法律不完善】的理由来对线了,我一头????
我抓着标准不放,对手来了个别的src也不收的招式,我防住了,我说别的收,给的还不少,问他需不需要截图给他看,对方沉默了,摆出了最终绝招【一切解释权归厂商所有】。
想到251事件,我又买不起录音笔,好家伙,这谁顶得住,只好截图发个朋友圈、博客了。
甘为不善而不之改者,是无耻也。
——[宋]陆九渊《拾遗·人不可以无耻》
最后的心得体会:
1、挖一个不熟悉的src,最好问问同行挖src的前辈们,这个src评价怎么样,是不是天天白嫖恶心人的那种。【哎,我当时要是问了大佬们,是这diao样,我还挖个屁,浪费我10分钟】
2、挖洞可以走火线平台,火线平台【https://www.huoxian.cn/】还是很不错的,表妹什么的都很负责,有一次接入火线平台的src改变了规则,导致我屯的几个洞被忽略了,但是经过表妹沟通之后,对方还是给了补偿,虽然不多,但是还是很开心。
3、正如谷歌离开中国,是百度的利好,是治病人的利空。对了,我新公司很不错,六一还发AD钙奶,工作以来第一次过儿童节,有点幸福,src的粽子没了【以后十分钟也不给这类src】,还有公司的粽子大礼包,幸福满满。
很好,看来我不是唯一一个!辛苦老板