收到邮件说检测到我们网站有 bug,该怎么处理。大家有收到类似的吗?

2019-03-25 14:38:24 +08:00
 ioioioioioioi
邮件主题:big vulnerability on your website - there are x hole
邮件内容:
Hi,I am Independent Security Researcher .Found very big Security Vulnerability (Bug) in your system and it can cause damage your website so may i report here ? i can read all databases,can control and change everything,all your user informations,documents,everything. is there any appreciation reward for valid report/bug ?



Kindly response as soon as possible :)



(i didnt touch or download anything)

Your Databases List;





web application technology: xxx

back-end DBMS: MySQL > xxx

available databases [xx]:

[*] xx

[*] xx
2374 次点击
所在节点    问与答
17 条回复
xenme
2019-03-25 14:40:28 +08:00
垃圾邮件,删除举报加黑名单
hlwjia
2019-03-25 14:41:45 +08:00
如果属实,那可以适当报答一下啊
ioioioioioioi
2019-03-25 15:07:53 +08:00
@hlwjia 这是勒索,还报答
winterx
2019-03-25 15:09:23 +08:00
不管是不是勒索,人家已经告诉你 SQL 注入了,你自己检查一下 SQL 日志跟数据库啊
ioioioioioioi
2019-03-25 15:42:06 +08:00
@winterx 是看 nginx access log 的 request 吧?
simapple
2019-03-25 15:49:06 +08:00
看邮件描述的是不是真的
ioioioioioioi
2019-03-25 15:51:46 +08:00
@simapple available databases 是对的
nosmile
2019-03-25 15:52:51 +08:00
下面数据库是不是你的你不知道吗,如果是真的,你不赶紧修复,修复好了,人家也说了“ is there any appreciation reward ”
co3site
2019-03-25 15:53:46 +08:00
只有我觉得这行文读起来想翻译过来的吗?
simapple
2019-03-25 15:55:05 +08:00
@ioioioioioioi 那可能真的有漏洞,有诚意的话回复要一些漏洞细节,确认了给点奖励,或者赶紧自查,找到漏洞修复
ioioioioioioi
2019-03-25 15:57:16 +08:00
@nosmile 是真的,不然就当垃圾邮件了
ioioioioioioi
2019-03-25 15:57:36 +08:00
@co3site 可能对方母语不是英语
yzkcy
2019-03-25 16:06:06 +08:00
好像是 SQLMAP 跑出的结果,看一下数据库日志吧,赶紧修复吧。

另外人家只是问你有没有漏洞赏金而已,说勒索也太过了吧?
HuasLeung
2019-03-25 16:08:24 +08:00
下个 SQL 注入工具自己模拟扫描一下,有可能是很低级别的漏洞。
javashell
2019-03-25 16:09:33 +08:00
看样子是注入漏洞,发给你注入后获得你网站数据库的部分库名作为证明,当前紧要的是修复,然后可以参考世纪 佳缘的做法 /手动狗头🐶
hlwjia
2019-03-25 16:13:03 +08:00
hlwjia: 如果属实,那可以适当报答一下啊
ioioioioioioi: @hlwjia 这是勒索,还报答

我就把上面这两句对话留在这,各位看官自己判断吧。

无语,今天不骂人 :)
hlwjia
2019-03-25 16:17:04 +08:00
也就翻了一下楼主之前的发帖,我也就平静了

https://www.v2ex.com/t/489619#reply68

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/548308

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX