[請益] 發現網站漏洞是否要回報？

a25ptt 發表於 2023/4/22 下午6:02:47

看板Soft_Job標題[請益] 發現網站漏洞是否要回報？作者

a25ptt

(dkbd)時間Apr 22 18:02:47 2023推噓 9 推:10 噓:1 →:9

PTT評價

小弟最近發現某個付費網站有漏洞。
該網站的某隻API內容會公開其他使用者的個資，
使用該API的內容結合該網另一隻API，
就可看到對應使用者的付費文章。

因為小弟也是該網站的使用者之一，
目前在猶豫是否要向該網站提報漏洞，
但又怕被反誣告是駭客(對象是台灣公司)。

想請問板上的大大，
我該怎麼回報此漏洞，
才能保障自己不被事後清算呢？
-----
Sent from JPTT on my iPhone

※ PTT 留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.235.135.113 (臺灣)

※ PTT 網址

推

FXW1131404/22 18:09https://zeroday.hitcon.org/

推

zrna051504/22 18:09去 HITCON zero day

感謝兩位大大幫忙，我來研究下。

※ 編輯: a25ptt (61.65.225.80 臺灣), 04/22/2023 18:15:02

推

qwe7030204/22 18:19牛逼，是有一支api能把整個user table撈出來484

沒有到全部，但有很多機敏性資料。

→

ChungLi556604/22 18:48我之前發現子龍網站漏洞是直接寄信給客服告訴他們怎

→

ChungLi556604/22 18:48麼修

我也有想過，但該網站有點偏灰色產業我不太敢直接聯繫對方……

※ 編輯: a25ptt (49.217.129.211 臺灣), 04/22/2023 18:57:48

推

s86013404/22 19:04不需要沒有獎金計畫

推

jej04/22 19:18和主管說然後大拇指和食指擺出愛心的動作

→

diabolica04/22 20:39不用

→

ck96078504/22 21:51你揭開沒有修養的人的隱私你想他會對你做甚麼事情？

這也是我考慮的點之一，但我自己的資訊也被公開了QQ

推

Nigger556604/22 21:53怎麼聽起來像瑟瑟的網站

※ 編輯: a25ptt (36.235.135.113 臺灣), 04/22/2023 22:23:19

推

loadingN04/22 22:38分

→

knives04/23 01:22不需要回報阿

→

Hecc04/23 03:15當做不知道

推

Lomonosov04/23 09:20我遇過對方回答這是feature的

這回答也太令人意外了吧

※ 編輯: a25ptt (36.235.135.113 臺灣), 04/23/2023 19:45:59

推

jobintan04/24 07:58沒bounty就別了，不然只是自找麻煩，不值得呢。

推

justaID04/24 08:48原po不想自己的資訊也在裸奔，所以很想回報吧

沒錯，而且同時還能看到他人的數據

→

ChungLi556604/24 13:37對我就是查到我的個資裸奔了才回報客服

→

ChungLi556604/24 13:39然後子龍也沒回覆我隔兩天再上去看已經補好了

大大真幸運，我在google上有看到其他子龍的回報案例，直接先鎖帳再說…….

→

Csongs04/24 19:04先全撈出來

※ 編輯: a25ptt (36.235.110.63 臺灣), 04/24/2023 19:13:02

噓

final0104/26 08:37你回報是想幹嘛？？

其他人也閱讀了

PTT 熱門相關