现在国内做安全的都这么肆无忌惮吗？发现有漏洞就直接提交公布？

@zgzhang 我只能说他的初心没问题，但是他未直接跟厂家沟通，直接提交漏洞让平台处理这个步骤有问题。平台一旦接受漏洞，就直接公布，再通知厂家，这明显是已知处理逻辑。他完全可以先预知后续发展。

@polaa 感谢网友提供法律依据，我会认真看看。谢谢。

不就是，发现有漏洞应该直接去黑市卖嘛，不然怎么给这些无良公司造成更重大的损失？
居然去平台发布，真不专业。

直接发布漏洞详情，楼上居然这么多人同意，笑死了。

“平台一旦接受漏洞，就直接公布”，这明显就是平台的错啊，这怎么就能觉得平台是好的？

如楼上所说，发平台有名有利，不过人家也有一定的保护作用。直接发给你们厂商，怕是会被你们反将一军。

另外我好奇征求意见稿有没有效力，求解释。

安全从业人员觉得好奇，现在能直接接受小众 cms 漏洞提交无非就国家那几个平台，还有一些私有的公益项目，不过白帽子大多也赚不到几个钱。如果是国有的 cnvd 之类的平台，据我所知不会公布内容详情，而且这是国家平台，能有什么问题？如果是私有 src 那就更好玩的，据我所知这些 src 从来没有流出过漏洞的详情吧。你做开源项目，不让 pull ？这谁敢用你的项目，一点开源精神都没有。技术不到位就算了，还不承认自身错误。这种小 cms 白帽子交给平台的收益微乎其微，cnvd 之类的可能会有数字证书（非实物）奖励，私有的估计也就十几到几百块钱，而且这也不是白帽子的问题。我觉得白帽子已经做的很好了，非要有客户用了你们的程序，结果被人黑下来你才满意吗。
这个行业太多白帽子联系厂商被倒打一耙的案例太多太多了，直接联系了当作勒索，不直接联系又搁着抱怨。

现在还有直接公开的平台吗，是哪个呀

让人想起了世纪佳缘

有几个疑问：

1 、平台告知你之后直接公布了漏洞详情，还是做了漏洞预警
2 、这是什么平台，个人觉得这平台流程不对阿，应该是平台的问题吧，正常是要 白帽子发现漏洞提交平台，然后平台通知厂商，厂商修复漏洞，然后在一段时间之后做漏洞披露，这才是正常流程。

@tocherrygo 平台是提交人的保护者，事实上是平台在担保漏洞修复-公布流程的合法性和保密性

设想一下如果漏洞研究者直接提给厂商，厂商一边修复一边先送了奖励然后反手把研究者送公安那去破坏计算机信息系统罪+起诉敲诈勒索，他有什么自保措施么？完全没有

提交给平台，平台审核测试合法性、保证通知-修复-公开流程的完善性、担保厂商的修复奖励真实有效，这样研究者才有可靠合法的施展空间

平台直接公开了漏洞，那是平台有问题，你为什么会想到解决研究者？

lz，漏洞公开时间和流程是平台规定的。如果平台提早公开，是平台的问题，如果提交者未经平台披露自己先行公开，那他确实不受保护，可以予以追责

被搞安全这帮人恶心了好多次了，
美名其曰帮你找漏洞，实则为了自己名利，故意夸大漏洞危害
本来就是给 zf 某县区做了一个日访问量不到 100ip 的网站，结果被人反馈说有漏洞会照成重大影响，可能会导致数百万人信息泄露，结果上级部门还真信了，把开发人员拉过去数落一顿，其实啊，那网站我估计 100 个 ip 有 80%都是爬虫

@ajaxfunction 所以说到底有没有漏洞

@ajaxfunction 所以漏洞是存在的吗

@mercury233 确实有漏洞，会被人篡改文章，后来干脆就本地生成静态 html，然后一键同步到生产目录

@slanternsw 确实存在

为什么不告诉厂家，因为有过先例，告诉了反被告敲诈。
前段时间还在 V 站看到一个发现一个漏洞，问怎么安全提交的。

通知是情分不是义务，没有通过漏洞获取利益、数据，不是非法入侵。

@ajaxfunction 最好别跨领域挑战别人的饭碗

一个网站日流量 100 与这个网站后台包含 100w 人的信息之间没有任何因果关系
你的网站哪怕只是有一个可遍历账号公开信息的接口，那也可能存在着整站所有注册用户全部实名信息泄露的风险。因为可遍历信息意味着有撞库的可能，可撞库则可登录，可登录则有鉴权，有鉴权则很可能可跨业务查询自己的实名信息

不搞安全，你自认自己有这样的直觉和意识吗


说句不好听的，搞安全的，路过这种 pv100 的小破站哪怕直接能扒得底裤都不剩也没有挖出大厂一个犄角旮旯的业务微不足道的 xss 有成就感。因为可能这个 xss 能让这个大厂给他发实物奖励让他发在朋友圈炫耀，但小破站往往只会出来一个不懂装懂反手无威胁+报警的骚操作运维让他吃不了兜着走

@polaa 挺热心的。现实是，你就是再会法条，也白搭。个体户一般是随手挖个洞，你是大厂就提一提，不是大厂很多都看心情办，要么不管要么拿出来炫技，一般炫技比较惨，乌云关了就更加不会愿意公开了。