發現網站漏洞,跟站長要報酬合理嗎?

看公司黑不黑了。

好心的會協商,不好心的就會當你放屁;諷刺的是和社會上風氣非常一致,你覺得你所做的是幫助了別人,而別人不領情。無語


哈哈,我也發現了一個低級漏洞,卻能引起巨大問題。知乎的管理員也沒聯繫我哈!


不合理,小站隨便找找都有漏洞,人家自己都不在乎,這完全就是技術問題

你如果發現淘寶和百度的可以篡改首頁的許可權的漏洞,那你可以跟他們要報酬。

你要是發現幾個野雞小站,還都是什麼SQL注入什麼的,那怎麼要報酬?


站長:我們網站還缺個程序員,您有沒有興趣,給期權


恰巧前段時間也在研究相關的事情,總結起來其實很簡單:

發現漏洞然後跟企業談價錢,這是敲詐勒索,違法。

事先跟企業談合作(安全測試),然後去找漏洞提交給企業,正常的商業行為,合法。

這就是為什麼要提交給第三方平台的原因。


白帽子發現漏洞後聯繫廠商會出現一下幾種場景

  • 廠商1:哦,知道了
  • 廠商2:感謝提交,有興趣跳槽嗎
  • 廠商3:你是怎麼發現的?。。。我們已經報警立案了
  • 廠商4:有聯繫方式嗎? 我們想送你個禮物!然後穩住你後報警!


烏雲的相守很好的列子啊被告:勒索

有良心的廠商會送禮物,不過我直接跟他說給我充值話費把,果斷充了100好有愛


安全第一,被抓了就完了。協商的好還是不錯的。


這得看對方的網站的規模性和正規性,另外還需要簽訂協議,畢竟這技術活的事情。


我認為索取合理報酬是可以的,但是別血盆大開口。

出於安全考慮,可以考慮用比特幣一類來支付。


我想問,大神收徒弟嗎?


合理。。


千萬不要以為烏雲是保護傘,隨時查你發漏洞的水表,忠告


即使本意是好的,也要先保證自己安全。防止被人利用。

即使根據法律條款你沒有盜竊隱私信息,沒有刪改資料,沒有干擾計算機正常運作,你找人家網站漏洞始終是個把柄,更不用說還想要報酬。一旦抓住定罪很容易(有先例)。即使是要報酬,也絕對不能透露自己身份。

國外adrian lamo就因為向紐約時報和一些所謂的大公司提交漏洞被通緝至今。中國的惡人更多。只考慮到錢遲早被人陷害。千萬不能假設對方從你的利益考慮。

最重要的事情是保證自己安全。


不現實


太天真了你。你說的這種情況別人都能把你認定-成敲詐勒索罪了。你一定想要報酬的話,我告訴你一個折中的辦法吧。找到他們負責人,把漏洞報給他。報完後等他確認了,你就說「你看能不能給我送點禮物啥的?畢竟找漏洞也比較辛苦,不能送也沒啥」, 重點是最後一句


烏雲也是民間機構~未經允許檢測就是違法~只要報警,烏雲也是沒辦法~~該抓還抓~~烏雲補天不是保護傘~~烏雲里的白帽子就有提交了漏洞被警察請喝茶的………………漏洞提交要慎重~~


推薦閱讀:

無法想像釘釘CEO多麼變態
Web 3.0:分散式網路讓人民收回正在流失的權利
民謠不需要儀式感,《安和橋》也不需要你們過分的解讀。
社交軟體在非洲會被封么?地球知識局
互聯網簡訊-20171120

TAG:互聯網 | 網路安全 | 黑客Hacker | 信息安全 | 烏雲WooYun |

分頁阅读: 1 2