src漏洞挖掘|一个谎言需要无数谎言来弥补

先说一下对事不对人。

 

参加双11保卫战活动，针对活动我们发生的事情，而不是针对src

事情还得从6号提交菜鸟的漏洞说起。

提交了个漏洞因为怕不稳，把2个大洞打包提交了，然后19号收到消息内部已知，内部已知的聊天记录也是说了下这个业务情况，说是灰度中。

 

 

然后我觉得从这个对话中好像是已经修复了，

菜鸟那边回答我说正在灰度，下周如果还可以复现那他们承认这个漏洞，我想算了就这样吧。

 

 

然后中间又提了2个洞。

一个是内部已知，我去问的时候说是人工安全意识薄弱不属于漏洞；

再有一个是不是菜鸟的业务，他们双十一保卫战的公告范围写错了。

 

拜托我就想挖一个高危而已，这是干啥呢？

我觉得那老天都不帮我，我还测个啥呢，玩吧。

所以接下来的时候天天无限火力，不得不说无限火力真香。

就在昨天突然想到了上周的那句话如果还可以，我们还认可的。

我寻思那试试呗，梦想不能没有，万一实现了呢？

于是就去问了一下上周的话还算数吗，然后截图给他告诉他还是可以复现的。

 

 

接下来居然问我是在小程序还是app，这个就尴尬了，难道当初都不知道我这个漏洞问题在哪里就内部已知了吗。。

然后提交的2的打包漏洞只修复了其中一个，因为另一个比较隐蔽。接下来他打算自己复现一下是否还存在这个问题。而且再次说我们认的。

这里给他点个赞，起码当时以他自己的想法是觉得应该认的。

 

 

然后经过复现后他确认了这个问题，于是就去和阿里说明了一下情况看看他们应该怎么处理一下。

 

 

整个过程看下来就是内部已知，然后承诺下周修复，我去复现结果只修了一个明显的地方就是我在报告中详细写的那个接口被修复了。

而我没有写的这个接口但是在漏洞报告中提到的这个并没有修复，中途也能看出来他们连app或者小程序哪个存在问题都分不清楚，到最后真的给我确认了漏洞，然后。。。

 

 

日子还得过，我一个小人物也没想过能对抗谁，以后漏洞该挖还得挖不是吗。

但是请允许我作为一个打工人的抱怨，我还是想试试对抗一下这些不公。

最后，对事不对人。他的确是一直在帮我复现这个漏洞也承认了，我相信我败给的绝对不是个人，而是体系。