想在 github 上发布某视频监控产品的漏洞/设计缺陷

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

请不要在回答技术问题时复制粘贴 AI 生成的内容

这是一个创建于 1289 天前的主题，其中的信息可能已经有所发展或是发生改变。

酝酿了一些时间想在 github 上发布某视频监控产品的漏洞，或者说是设计流程安全缺陷任意可重置管理员密码。但是对 github 不熟悉，英文也不好哈，不知道怎么填写～～本人高中学历，非程序员专业 /工作 https://ibb.co/CHztmS9

GitHub

漏洞

缺陷

监控

25 条回复 2022-06-16 20:05:03 +08:00

x86

2022-06-15 23:19:26 +08:00

我擦，这个好东西呀，坐等公开

dangyuluo

2022-06-15 23:20:44 +08:00

确定是设计缺陷么。。

Chaconne

2022-06-15 23:21:10 +08:00

@x86 很简单的，没技术含量，只是技巧和熟悉产品

quzard

2022-06-15 23:21:18 +08:00 via iPhone

这不太道德吧，如果被人拿去滥用了话，建议还是告诉厂商修复吧

darkengine

2022-06-15 23:21:27 +08:00

建议先打电话给厂家

crab

2022-06-15 23:21:33 +08:00

官方网站不是有上报渠道吗

Chaconne

2022-06-15 23:22:31 +08:00

@dangyuluo 是的，去年电话反馈过，他们的意思是：民用 /家庭级的产品就这样，大有“我们就不改了”，但是金融、能源行业用的产品不按这套流程走，比较安全

Chaconne

2022-06-15 23:23:03 +08:00

@quzard 详见我刚回复另一兄 dei 的

Chaconne

2022-06-15 23:23:15 +08:00

@darkengine 详见我刚回复另一兄 dei 的

hs0000t

2022-06-15 23:37:27 +08:00 via Android

一句话保护好隐私
关键词乌云世纪佳缘

psydonki

2022-06-15 23:42:14 +08:00

github 上中文的内容也很多，新建一个公开的仓库，修改 readme.md 就可以。
有监督才会有进步

Les1ie

2022-06-16 01:02:14 +08:00

如果厂商不管的话，推荐的流程是报给 CNVD ，由上级去推动厂商修复漏洞，还可以奖励你一个证书 :)

https://www.cnvd.org.cn/

你已经联系厂商了，厂商不受理，按理说你这已经是负责任的漏洞披露流程了，可以在其他平台公开这个漏洞。

但是，我个人不建议直接公开这个漏洞，毕竟如果漏洞影响面比较大，那么受影响的是普通用户，不如让漏洞一直存在下去吧，知道的人越少越好。老产品存在不被修复的漏洞是很普遍的，只要不被发现、不被公开，影响还是比全网公开更小的。

chendy

2022-06-16 07:56:06 +08:00

公开了之后厂商怎么样不好说
普通用户可能就遭殃了

flyqie

2022-06-16 08:13:33 +08:00 via Android

如果你有临时修补方案，请谨慎公开漏洞细节和 POC ，因为某些用户可能无法及时了解到该信息并予以修补。

如果你没有临时修补方案，请永远不要公开漏洞细节和 POC ，厂商不负责任不代表用户需要承担因你而造成的风险。

一旦公开漏洞细节和 POC ，该漏洞的利用门槛将显著降低。

前几楼老哥已经发了相关地址了，建议向上级反馈推动厂商积极性。

感谢你做出的努力。

darkengine

2022-06-16 08:43:58 +08:00

要么向相关部门报备，不然到时候公布了造成损失厂家还倒打一耙