提交漏洞直接给厂商还是给 CNVD？

建议不要提供
曾几何时，有个站叫乌云

cnvd 一般是通用型漏洞吧
教务系统厂商不会鸟你
学校到还靠谱一点

本校学生就提交给本校的信息处
外校的...你还是自己留着吧

@jangit 我以前就是乌云的。。

@just1 学校不知道会不会重视。。

@Zy143L 自己留着可还行 0.0
@just1 通杀型的，对应理论上全部可以炸

@jangit 说实在话，如果在当时，除非为了邀请码，否则作为本校学生最好不要提交乌云，因为学校一般不修或者联系不到，30 天之后所有人都知道可以获取你的信息了。我当时升级的动力就是提前查看漏洞。rank 也不高，学校的能有 3 就差不多了。

可能你认为这是漏洞，学校认为你是在没事找事
吃力不讨好

不建议提交任何地方
前车之鉴 之前有个学生也是提交了学校没处理 后来被别人攻击
学校想起来就处分了这个学生

@just1 乌云现在又开了吗，看来终于升级完了

@cnskis 通用型 cnvd 说不定还能有小证书呢
360 补天也可以考虑一下

@jangit 没开

@uxstone 我自己学校之前提了之后当天就改了
@jugelizi 就让它一直存在？这样不是隐患吗。
@just1 乌云在的时候我去补天看过，对补天没感觉。。。

开门，查水表

@jerryrib 水表在外面，开不得门

建议 cnvd

这算是通用型漏洞吧，要提交也提交到 cnvd 之类的平台，
个人建议不提交，省的吃力不讨好

@cnskis 开门，量体温

临毕业前，我校教务处新闻的不显眼的栏目有几条菠菜广告，笑死

直接提权帮学校改了代码可能更快

教育行业漏洞报告平台 https://src.sjtu.edu.cn

楼上正解，教育网 src

教育网 src，然而学校也并不一定修。#6 说的还是有道理。

@b1rdb0y 可以考虑
@javashell 我没法做更多的验证
@guog 我自己查了-.-
@crella 还好我校没有这个，xswl
@rayhy 提不得，没敢深入了。
@zsmj1024 可以，我看看
@virusdefender 以前居然不知道，只上乌云
@shansing 有的学校还是会修的。

@cnskis 提给学校吧。教务系统，一般是自研，或者付费购买的。 以前 wooyun 还在的时候，看到过几个《方正教务系统，新开普教务系统》的漏洞，感觉也没有人管，还要被公开漏洞细节。

提给学校的话，直接说你拿到数据的步骤，然后提供一个泄露数据的截图 警告下 就好了。 当初我也发现了一些校务漏洞，用匿名邮件的方式发给学校，学校还邀请我去喝茶谈谈。我没胆去，只是邮件回复保证数据我都没有保留，后来漏洞还是悄悄修了。

装作没看到，否则 3 年有期徒刑

@ic2y 买的，这个我知道，学校应该叫厂商修。
@kernelpanic 我丢，3 以上 5 以下。

cnvd 吧

别没事找事，想想给世纪佳缘提交漏洞的那个哥们出来没？

我个人感觉哈,这种还是别出头;这种教务系统本来错漏百出,或许你提交了以后又爆出问题,他们指不定第一个报警就把你抓起来

不建议提交，别没事找事

既然你都是乌云年代过来的了，这点自我保护意识都没有？

@mXw 我再想想，考虑利弊。
@playniuniu 可惜了乌云，我还有乌云币。
@MeteorCat 有道理。
@mcone 放在那是个隐患。。。-.-

还好我们学校有专门的信息安全中心，里面的老师也比较重视安全，提交的漏洞都会及时被修复。如果是本校的建议直接校内处理了，校外的还是交给漏洞平台。

@illl 快一个月的帖子让你挖了