V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ioioioioioioi
V2EX  ›  问与答

收到邮件说检测到我们网站有 bug,该怎么处理。大家有收到类似的吗?

  •  
  •   ioioioioioioi · 2019-03-25 14:38:24 +08:00 · 2496 次点击
    这是一个创建于 2103 天前的主题,其中的信息可能已经有所发展或是发生改变。
    邮件主题:big vulnerability on your website - there are x hole
    邮件内容:
    Hi,I am Independent Security Researcher .Found very big Security Vulnerability (Bug) in your system and it can cause damage your website so may i report here ? i can read all databases,can control and change everything,all your user informations,documents,everything. is there any appreciation reward for valid report/bug ?



    Kindly response as soon as possible :)



    (i didnt touch or download anything)

    Your Databases List;





    web application technology: xxx

    back-end DBMS: MySQL > xxx

    available databases [xx]:

    [*] xx

    [*] xx
    17 条回复    2019-03-25 16:17:04 +08:00
    xenme
        1
    xenme  
       2019-03-25 14:40:28 +08:00 via iPhone
    垃圾邮件,删除举报加黑名单
    hlwjia
        2
    hlwjia  
       2019-03-25 14:41:45 +08:00
    如果属实,那可以适当报答一下啊
    ioioioioioioi
        3
    ioioioioioioi  
    OP
       2019-03-25 15:07:53 +08:00
    @hlwjia 这是勒索,还报答
    winterx
        4
    winterx  
       2019-03-25 15:09:23 +08:00
    不管是不是勒索,人家已经告诉你 SQL 注入了,你自己检查一下 SQL 日志跟数据库啊
    ioioioioioioi
        5
    ioioioioioioi  
    OP
       2019-03-25 15:42:06 +08:00
    @winterx 是看 nginx access log 的 request 吧?
    simapple
        6
    simapple  
       2019-03-25 15:49:06 +08:00
    看邮件描述的是不是真的
    ioioioioioioi
        7
    ioioioioioioi  
    OP
       2019-03-25 15:51:46 +08:00
    @simapple available databases 是对的
    nosmile
        8
    nosmile  
       2019-03-25 15:52:51 +08:00
    下面数据库是不是你的你不知道吗,如果是真的,你不赶紧修复,修复好了,人家也说了“ is there any appreciation reward ”
    co3site
        9
    co3site  
       2019-03-25 15:53:46 +08:00 via Android
    只有我觉得这行文读起来想翻译过来的吗?
    simapple
        10
    simapple  
       2019-03-25 15:55:05 +08:00
    @ioioioioioioi 那可能真的有漏洞,有诚意的话回复要一些漏洞细节,确认了给点奖励,或者赶紧自查,找到漏洞修复
    ioioioioioioi
        11
    ioioioioioioi  
    OP
       2019-03-25 15:57:16 +08:00
    @nosmile 是真的,不然就当垃圾邮件了
    ioioioioioioi
        12
    ioioioioioioi  
    OP
       2019-03-25 15:57:36 +08:00
    @co3site 可能对方母语不是英语
    yzkcy
        13
    yzkcy  
       2019-03-25 16:06:06 +08:00   ❤️ 2
    好像是 SQLMAP 跑出的结果,看一下数据库日志吧,赶紧修复吧。

    另外人家只是问你有没有漏洞赏金而已,说勒索也太过了吧?
    BCy66drFCvk1Ou87
        14
    BCy66drFCvk1Ou87  
       2019-03-25 16:08:24 +08:00 via Android
    下个 SQL 注入工具自己模拟扫描一下,有可能是很低级别的漏洞。
    javashell
        15
    javashell  
       2019-03-25 16:09:33 +08:00 via Android
    看样子是注入漏洞,发给你注入后获得你网站数据库的部分库名作为证明,当前紧要的是修复,然后可以参考世纪 佳缘的做法 /手动狗头🐶
    hlwjia
        16
    hlwjia  
       2019-03-25 16:13:03 +08:00
    hlwjia: 如果属实,那可以适当报答一下啊
    ioioioioioioi: @hlwjia 这是勒索,还报答

    我就把上面这两句对话留在这,各位看官自己判断吧。

    无语,今天不骂人 :)
    hlwjia
        17
    hlwjia  
       2019-03-25 16:17:04 +08:00
    也就翻了一下楼主之前的发帖,我也就平静了

    https://www.v2ex.com/t/489619#reply68
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5875 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 02:15 · PVG 10:15 · LAX 18:15 · JFK 21:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.