V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ahkxhyl
V2EX  ›  问与答

V2EX 里面有慕课网的人吗

  •  
  •   ahkxhyl · 2017-09-02 20:29:06 +08:00 · 3336 次点击
    这是一个创建于 2638 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天无意中发现慕课网一个漏洞,能直接调用 shell ...请联系我!!

    13 条回复    2017-09-04 17:47:04 +08:00
    nazor
        1
    nazor  
       2017-09-02 21:21:34 +08:00 via iPhone
    。。那就是命令执行漏洞了?这可是大漏洞啊。
    lxy
        2
    lxy  
       2017-09-02 21:42:20 +08:00
    网站底部有意见反馈。前几天发现一个 XSS,反馈后有产品经理让我加他 Q,我懒得理,截图都已说明清楚了不想浪费时间。
    ahkxhyl
        3
    ahkxhyl  
    OP
       2017-09-02 21:43:39 +08:00
    @lxy 难道他们都没人管吗?
    smithtel
        4
    smithtel  
       2017-09-03 00:09:46 +08:00 via iPhone
    发个邮件已经是到位了,不要瞎操心
    onlyhot
        5
    onlyhot  
       2017-09-03 00:20:13 +08:00 via iPhone
    发邮件,说明清楚流程。为什么非要联系你呢
    ahkxhyl
        6
    ahkxhyl  
    OP
       2017-09-03 00:51:11 +08:00
    @onlyhot 发过邮件了 但是没回呢
    msg7086
        7
    msg7086  
       2017-09-03 08:07:00 +08:00
    @ahkxhyl 没回那你还折腾什么。难道要发现漏洞的人求着开发者修漏洞么……
    hundan
        8
    hundan  
       2017-09-03 10:39:09 +08:00 via Android
    你们为什么都不喜欢去第三方平台提交,或者 cnvd 之类的
    weakish
        9
    weakish  
       2017-09-03 11:35:07 +08:00
    @hundan 可能有法律风险,参考乌云。
    ahkxhyl
        10
    ahkxhyl  
    OP
       2017-09-03 11:49:16 +08:00
    @weakish 是啊~ 乌云到现在还在关闭~~
    hundan
        11
    hundan  
       2017-09-03 12:35:04 +08:00 via Android
    @weakish 乌云主要是漏洞透明,管理无力导致的,不是因为提交漏洞。
    ahkxhyl
        12
    ahkxhyl  
    OP
       2017-09-04 16:55:52 +08:00
    慕课网的人非常不负责任。对方星期日加我 q 也不跟我说话 我发一个表情给她 但是到现在都没回我 我真心服了 这么危险的漏洞 无人管 好笑
    ahkxhyl
        13
    ahkxhyl  
    OP
       2017-09-04 17:47:04 +08:00
    这个环境是 docker 对方产品经理说不算漏洞 在 py 里面执行 shell 本来就没事。那个是容器服务。不是服务上的
    然后然后就不管了?我有点蒙~~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   977 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 22:40 · PVG 06:40 · LAX 14:40 · JFK 17:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.