把某網站脫褲後如何優雅的通知管理員有漏洞?

5.17補充我的疑問:

好吧,小白不知道問題嚴重性,對於這件具體的事情,其實我只是看了一下,並沒有對數據進行備份,用看人媳婦脫衣服的比喻最多也就是看了沒錄像對吧。。。

但是我不明白如果我不dump整個資料庫我怎麼知道他能不能被脫?還有,向我們這種個人興趣做著玩的滲透測試從一開始我就沒覺得大部分人在做合法的事情,那為什麼我仿知乎風格提出這樣一個調侃的問題會有這麼多人(或許其中也有做過或曾經做過同樣或同類的事情的人)來批判我而不是告訴我應該怎麼辦?

我不太明白…

5.18繼續補充:

三觀不同導致我在第一眼看到redrain同學的回答內心就充滿了的負面情緒(不知道redrain在看到我的「優雅」提問的時候是不是也有這種趕腳?)。但是我也想補充一下,「真正」的白帽在面對這種情況正確的做法應該是打電話給客戶詢問是否要繼續做下去,然後根據客戶要求停止攻擊或者在簽訂保密協議後繼續攻擊最後整理文檔也要詢問這部分是否需要。

ps:早年認識個白帽,他告訴我的,非杜撰。


優雅優雅,優雅個屁,怎麼這些人都是要顯得逼格很高其實提了了一個一點水平都沒有的問題

補充,然後還有一群嘴炮max的人一天天的回答這種問題或者邀請回答,我很好奇,感覺是時候提個問題了:

為什麼知乎有那麼一群人每天問如何優雅的xxx,然後還有那麼一群人每天自認優雅的回答著,邀請著

再補充(看到題主評論後)

題主可能誤會了,或者是我們思考同一件事情的方式不同,回答如下:

這不是我裝b的手段,我裝b的手段一般是讓人知道我在裝b但是又沒辦法說出來,其次,我的心態是針對看到很多這樣」如何優雅xxx「一類沒有營養的問題存在牆裂的不滿,原因:

如果真的想優雅的做一件事,那麼至少這個人是一個有情懷的人,至少不是提問如」脫褲後如何優雅的告訴管理員「,」脫褲後如何優雅的自首「,」如何優雅的黑站「,」如何優雅的當黑客「等一系列沒有營養的問題的人

然後回答題主最後一句的問題:

誰特么污衊我是黑帽了~ 大家都一樣是屌絲,只不過你我屌絲的方面不同而已,如果你問我從一個屌絲轉變成富帥的心理變化的話我倒是很樂意編一編

如果題主是覺得我的語氣和態度不好的話,那麼我只想說,我特么這個態度又不是針對你的,我也可以吹牛打屁嬉皮笑臉,也可以對我不爽的一方面狂噴(對,我噴的就是這個~

最後最後~回答題主的提問,脫褲後如何告知

拖的是大站

那麼別說了,自己悄悄擦擦屁股,沒能力擦乾淨的話就吃頓好的或者收拾細軟吧

拖的是小站

告知或者不告知完全取決於對方的安全態度

白帽子(真正的)的角度:

點到為止,不可能存在你拖了的情況

"白帽子"(注意引號)的角度:

脫了!然後報烏雲去~

黑帽子的角度:

呵呵

針對題主補充的補充:

我看到這個問題的時候沒有充滿負面情緒啊,就是很平常的想法:」卧槽,逗比,做婊子還立牌坊,還立的那麼沒水準「(純調侃,沒有人身攻擊的意思)

你所補充的那個做法不否認其正確性,但是殘酷的現實告訴我們,廠商並不是都是這麼好說話的,如果題主想做正義的夥伴但是又不想被欠教育的廠商糾纏,那麼交給公開透明的第三方處理是比較得當的

其實對於大部分安全愛好者來說哪裡有那麼多門門道道,我TM就不相信你拿下的是保密性質然後還來提這個問題

如何區分:

沒有一個所謂的hacker不做壞事,不過每個人恆量的標尺不一樣罷了,如何區分它們,邪惡但是卻有善良的老鳥們知道怎麼做這件事,做到什麼地步比較恰當,什麼可以做,什麼不能做


作為一名白帽子 對於樓主這種情況微覺得還是 好自為之 潔身自好 的比較好

如果你僅僅是發現了一個漏洞 那麼你完全可以乾乾脆脆地提交給管理員 如果是大廠商的話 烏雲也是個不錯的選擇

但是如果你已經脫褲了 我覺得這個性質地完全變了 應該涉及到法律地層面了吧 如果網站管理員咬著你不放 報警的話 吃虧地肯定是你

換一個形象的比喻 你發現銀行保險柜沒關 你進去把她們地錢全偷了 然後大喊一聲 銀行你沒關保險柜 大概就是這樣吧

自重

@李普君


清空資料庫,可能的話rm -rf /

猜題主的下一個問題是「把某網站脫褲後如何優雅的自首」


脫褲後如何優雅的通知管理員有漏洞?這個太簡單了:報警!(準確來說叫自首)然後警察會替你通知網站方的,瞬間霸氣側漏,高端大氣上檔次有木有,wooyun神馬的和這一比簡直被完爆~

------------------------------------2014.5.18 04:00 update----------------------------------------------

好吧,小白不知道問題嚴重性,對於這件具體的事情,其實我只是看了一下,並沒有對數據進行備份,用看人媳婦脫衣服的比喻最多也就是看了沒錄像對吧。。。

那我也用看人媳婦脫衣服來比喻,你進入了資料庫就是看見了人家的媳婦脫衣服,這就已經可以證明漏洞了,你要是dump了資料庫(無論全部還是部分,哪怕你就dump了100條也是dump了),那就是看人媳婦脫衣服然後還錄像,說你有惡意不為過吧?

「真正」的白帽在面對這種情況正確的做法應該是打電話給客戶詢問是否要繼續做下去,然後根據客戶要求停止攻擊或者在簽訂保密協議後繼續攻擊最後整理文檔也要詢問這部分是否需要。

這個……我只想說……誰告訴你所謂「真正」的白帽都只做授權測試的?

但是我不明白如果我不dump整個資料庫我怎麼知道他能不能被脫?

以及題主在 @龍浩答案的評論中所說:

不看到最後的結果我還真不相信整個資料庫能dump下來,說不定只是一部分呢

題主你逗我?我倒想問問題主,如果國防部安保措施有缺陷,我是不是可以名正言順地去把各種機密、絕密級情報數據全部複印一份帶走,然後告訴國防部說「你們安保有問題」?

大家都知道,當你拿到了資料庫的許可權後,即使不能修改資料庫(一般來說都可以),弄個批量查詢dump下來也就是分分鐘的事,你告訴我不做個完整dump就不知道能不能脫褲?題主你確定不是在開玩笑?

按照題主的說法,當初我報告商務部的信息泄露應該先把商務部內部職工論壇資料庫整個dump一遍然後順帶進後台把東西全刪了,再隨手掛個黑頁這樣才能證明我拿到了許可權以及危害性,才能報告問題嘍?還有我最近報告的一種幾乎通殺各大廠商的文件防護繞過我是不是也得先寫個木馬,等他有個幾千萬感染量了再去報告漏洞啊。

還有,向我們這種個人興趣做著玩的滲透測試從一開始我就沒覺得大部分人在做合法的事情,那為什麼我仿知乎風格提出這樣一個調侃的問題會有這麼多人(或許其中也有做過或曾經做過同樣或同類的事情的人)來批判我而不是告訴我應該怎麼辦?

我不太明白…

測試安全缺陷能證明危害就夠了。未經授權白帽測試講究點到為止,你查詢了資料庫,截個圖作證明,最好再打個碼,一般沒人說你什麼;但是如果dump資料庫,無論是不是全部,無論在安全界還是非安全界的人看來,都是絕對的沒有任何可辨解的惡意行為!這就是為什麼「有這麼多人來批判你而不是告訴你應該怎麼辦」,惡意行為就是惡意行為,沒有什麼怎麼辦。

Ps:純個人評論:既然做了,就別老想著怎麼洗白,與其這樣,不如不做。

利益相關:散人一枚


看到問題第一感覺就是如何當婊子還能立牌坊


看題主的補充貌似不滿意redrain的回答。

當題主使用優雅兩字時是不是潛意識在想對方管理員一定也是英雄惜英雄,並有一個良好的結尾或者後繼合作?咳,想得有點遠了。

如果你是一個普通人,回家看桌子上有封信,一個自稱盜聖的人聲稱測試你家保險柜不安全,裡面有你的裸照可以輕鬆被偷走,但他沒拿只是拍了一份。

作為普通人的你該怎麼辦?我相信絕大部分人都是拿起手機打110報警,其一因為你不信盜聖的話啊;其二你不清楚潛在損失;其三要止損(避免裸照流落在外帶來更大的影響)。所以報警是最正式最安全的做法。

所以優雅這個話題很誤導人,你通知別人你幹了壞事;把主動權交到別人手上多可悲。

如果你這樣做結果基本如下:

1、對方原諒你,不繼續。(肯定沒好感)

2、對方原諒你,邀請你繼續深入測試。(白帽最期望的,名利雙收)

3、對方不原諒你,不繼續。(肯定沒好感)

4、對方不原諒你,報警+發律師函(你想過怎麼應對這種情況么,你應對得了?)


優雅的不通知


假裝自己沒拖


還是不說吧,萬一被反咬一口


發漏洞到烏雲,標題起 XXXX 漏洞 導致XXXX萬用戶信息告急"


推薦閱讀:

電影中黑客僅僅通過一台電腦,就可以控制大廈的電路,可以做到嗎?
國外那些少年黑客既沒學過高數,也沒學過數據結構是如何學會編程的?
計算機是如何實現「隨機生成一個數字」這種功能的?
如何通過郵件進行 XSS?
初學者自學SQL有什麼好書推薦嗎?

TAG:網站 | 黑客Hacker | 漏洞 |