首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
xiaotuzi
V2EX  ›  问与答

中国信息安全测评中心是一家怎么样的安全机构?

  •  
  •   xiaotuzi · 46 天前 · 1158 次点击
    这是一个创建于 46 天前的主题,其中的信息可能已经有所发展或是发生改变。

    近日他们拨打电话过来,说我们开发的系统有漏洞,上他们网站一查,原来是爬取的 github 里面的 issue,一个人提交的 csrf 漏洞,而且还是后台的漏洞,程序本身是开源的。 我打电话反馈,说没有这个漏洞,叫他们把信息删了,他们说要检查下,几个小时后回电,叫我们去他们公司研讨如何解决这类问题的方案。 不太理解他们这一手什么套路,感觉事情不太简单。。。(漏洞不是他们自己找的,是爬取别人的,放到官网) 有没有经历过的软件公司来说说怎么回事?

    他们网站地址( http://www.cnnvd.org.cn/)

    20 回复  |  直到 2019-12-06 11:22:04 +08:00
    eGlhb2Jhb2Jhbw
        1
    eGlhb2Jhb2Jhbw   46 天前
    他们网站没有 HTTPS,你也在你们官网挂他丫的(逃
    xiaotuzi
        2
    xiaotuzi   46 天前
    @eGlhb2Jhb2Jhbw 他这个网站域名很像这个: https://www.cnvd.org.cn 这个是国家的。所以我心存疑惑
    learnshare
        3
    learnshare   46 天前
    @eGlhb2Jhb2Jhbw
    人家讲了: HTTPS 安全标志缺乏可靠性 http://www.cnnvd.org.cn/web/xxk/yjxwById.tag?id=11,131
    eGlhb2Jhb2Jhbw
        4
    eGlhb2Jhb2Jhbw   46 天前
    @learnshare #3 233333 看得我他娘的笑尿了。
    (可以利用用户对其的信任展开攻击:黑客可以通过购买传输层安全性( Transport Layer Security,简称 TLS )证书,使其假网站上的流量被加密,并成功诱骗浏览器。在浏览器误将该网站标为安全网站后,黑客将得以进行网络钓鱼攻击。)
    不知道黑客能不能买到 he 弹的发射密码。
    eGlhb2Jhb2Jhbw
        5
    eGlhb2Jhb2Jhbw   46 天前
    @eGlhb2Jhb2Jhbw #4
    尴尬,看错了,是给钓鱼网站上 https (再次逃
    learnshare
        6
    learnshare   46 天前
    @eGlhb2Jhb2Jhbw 这网站的套路以及转载文章的操作,基本能看出来赚钱的手段了
    eGlhb2Jhb2Jhbw
        7
    eGlhb2Jhb2Jhbw   46 天前
    @learnshare #6 查了下 whois,感觉信息还算靠谱,就是不知道是不是借了个 org 的壳子。
    virusdefender
        8
    virusdefender   46 天前
    打过一些交道,让你去他们单位?可以问下地址,看看是不是上地那个
    eGlhb2Jhb2Jhbw
        9
    eGlhb2Jhb2Jhbw   46 天前
    @learnshare #6

    事业单位。。。
    xiaotuzi
        10
    xiaotuzi   46 天前
    @virusdefender 他说的就是网站上挂的那个地址,但是我有点搞不懂这个,他们本身没有技术去找漏洞,反而是拿别人的找的漏洞挂网站上,还通知我们有人投漏洞在他们网站,套路有点深。
    virusdefender
        11
    virusdefender   46 天前
    @xiaotuzi 有可能是 https://www.cnvd.org.cn/ 通报的,话说 csrf 如果在后台会有更大危害吧
    xiaotuzi
        12
    xiaotuzi   46 天前
    @virusdefender 是进入后台才有这个 csrf。。。问题是后台账号就只有管理员才有啊,如果没有管理员账户就没办法爆出这个问题。
    viztorix
        13
    viztorix   46 天前
    @xiaotuzi 乌云模式转职国家队
    PHPer233
        14
    PHPer233   46 天前 via Android
    这是一个国家级信息安全测评机构,属于事业单位,没有行政执法权,不必管他的漏洞通报。但为了保证自身业务安全,也不要掉以轻心,要认真核实漏洞情况。
    xiaotuzi
        15
    xiaotuzi   46 天前
    @viztorix
    @PHPer233
    好的,有机会我会了解下情况
    molvqingtai
        16
    molvqingtai   46 天前 via Android
    信息安全机构我懂,但叫你去他们公司是什么操作
    virusdefender
        17
    virusdefender   45 天前
    @xiaotuzi csrf 和你进没进后台没关系吧,只要请求能发给你就行,要不你发我下漏洞详情看看?
    scukmh
        18
    scukmh   45 天前
    不需要进后台。(
    julyclyde
        20
    julyclyde   43 天前
    国家级管安全的是 https://www.cert.org.cn/
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4411 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 35ms · UTC 02:35 · PVG 10:35 · LAX 18:35 · JFK 21:35
    ♥ Do have faith in what you're doing.