V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hggg
V2EX  ›  分享发现

12306 接入补天,悬赏漏洞。

  •  
  •   hggg · 2014-12-28 11:44:15 +08:00 via iPhone · 4407 次点击
    这是一个创建于 3654 天前的主题,其中的信息可能已经有所发展或是发生改变。
    V2的白帽可以去试试了。
    22 条回复    2014-12-29 09:36:29 +08:00
    lincanbin
        1
    lincanbin  
       2014-12-28 11:50:37 +08:00
    悬赏金多少万?
    welsmann
        2
    welsmann  
       2014-12-28 11:51:47 +08:00
    五亿 : 两千
    xatest
        3
    xatest  
       2014-12-28 11:54:06 +08:00 via iPad   ❤️ 3
    一个众所周知的漏洞:自签名证书可以进行中间人攻击~请问拿奖金要联系谁?
    bluu
        4
    bluu  
       2014-12-28 12:15:25 +08:00
    @xatest
    12306可能不懂。
    也或者是不怕,但是不怕你悬赏干毛!
    bluu
        5
    bluu  
       2014-12-28 12:18:07 +08:00
    这个自签名的证书,一个恶意的手机应用就很容易在手机上截获所有通讯信息
    icedx
        6
    icedx  
       2014-12-28 12:28:08 +08:00
    2万还可以
    Quaintjade
        7
    Quaintjade  
       2014-12-28 12:55:15 +08:00 via Android
    @bluu 说很容易不恰当。自签证书私钥未泄漏时,本身是安全的。
    自签证书风险之一是私钥保管不善导致泄漏。之二是,访问者知道它用的是自签,首次访问会去安装根证书,中间人可以在此时替换根证书,从而导致本机的证书体系失效;或者因为是自签,所以必须无视安全警告,从而无法判断12306网站的真伪。
    luo362722353
        8
    luo362722353  
       2014-12-28 12:56:39 +08:00 via iPhone
    每次弹出证书不信任的时候挺烦的…@bluu
    DreaMQ
        9
    DreaMQ  
       2014-12-28 13:38:02 +08:00
    我觉得两万都不太够
    rockpine
        10
    rockpine  
       2014-12-28 13:46:24 +08:00
    已经设置为最高奖励一千了
    看到一个“带头大哥”的,轻轻松就拿了三四千,估计是漏洞太多,铁道研究院不得不降低奖励的金额
    hggg
        11
    hggg  
    OP
       2014-12-28 16:28:25 +08:00 via iPhone
    最高好像2000!
    14
        12
    14  
       2014-12-28 16:36:49 +08:00
    typcn
        13
    typcn  
       2014-12-28 16:45:04 +08:00
    harrysummer
        14
    harrysummer  
       2014-12-28 16:58:38 +08:00
    那个带头大哥真乃神人也!
    hggg
        15
    hggg  
    OP
       2014-12-28 17:05:56 +08:00 via iPhone
    @harrysummer 提交可真多~
    wy315700
        16
    wy315700  
       2014-12-28 17:18:52 +08:00
    @xatest 你能搞得到私钥?
    xierch
        17
    xierch  
       2014-12-28 19:48:20 +08:00
    它要求用户下载并导入根证书,
    问题是那个根证书的下载页面、下载链接都是 plain HTTP..

    要确保这方面万无一失,还是得全站 HTTPS 加上 HSTS,再提交给浏览器厂商。

    不然也就只能要求用户少用公共 Wi-Fi 啊什么的降低些许风险了..
    bluu
        18
    bluu  
       2014-12-28 21:10:33 +08:00
    没有内置根证书的话,通讯被截获的风险是100%
    crs0910
        19
    crs0910  
       2014-12-28 22:29:03 +08:00
    那个带头大哥应该不是一个人吧?一天提交不同网站那么多漏洞。。。。吓哭
    WLW
        20
    WLW  
       2014-12-28 22:31:19 +08:00
    带头大哥 = 佚名
    hggg
        21
    hggg  
    OP
       2014-12-28 22:31:47 +08:00 via iPhone
    @WLW 没错,带头大哥就是佚名!
    jimmy
        22
    jimmy  
       2014-12-29 09:36:29 +08:00
    昨天看到的是2000,我就在想,这2000领了,是不是也得以某种zui名吃牢饭呢?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2776 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 11:52 · PVG 19:52 · LAX 03:52 · JFK 06:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.