V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
xiaotuzi
V2EX  ›  问与答

中国信息安全测评中心是一家怎么样的安全机构?

  •  
  •   xiaotuzi · 2019-12-03 17:26:24 +08:00 · 3836 次点击
    这是一个创建于 1816 天前的主题,其中的信息可能已经有所发展或是发生改变。

    近日他们拨打电话过来,说我们开发的系统有漏洞,上他们网站一查,原来是爬取的 github 里面的 issue,一个人提交的 csrf 漏洞,而且还是后台的漏洞,程序本身是开源的。 我打电话反馈,说没有这个漏洞,叫他们把信息删了,他们说要检查下,几个小时后回电,叫我们去他们公司研讨如何解决这类问题的方案。 不太理解他们这一手什么套路,感觉事情不太简单。。。(漏洞不是他们自己找的,是爬取别人的,放到官网) 有没有经历过的软件公司来说说怎么回事?

    他们网站地址( http://www.cnnvd.org.cn/)

    20 条回复    2019-12-06 11:22:04 +08:00
    eGlhb2Jhb2Jhbw
        1
    eGlhb2Jhb2Jhbw  
       2019-12-03 17:35:38 +08:00
    他们网站没有 HTTPS,你也在你们官网挂他丫的(逃
    xiaotuzi
        2
    xiaotuzi  
    OP
       2019-12-03 17:39:39 +08:00
    @eGlhb2Jhb2Jhbw 他这个网站域名很像这个: https://www.cnvd.org.cn 这个是国家的。所以我心存疑惑
    learnshare
        3
    learnshare  
       2019-12-03 17:44:34 +08:00
    @eGlhb2Jhb2Jhbw
    人家讲了: HTTPS 安全标志缺乏可靠性 http://www.cnnvd.org.cn/web/xxk/yjxwById.tag?id=11,131
    eGlhb2Jhb2Jhbw
        4
    eGlhb2Jhb2Jhbw  
       2019-12-03 17:47:51 +08:00
    @learnshare #3 233333 看得我他娘的笑尿了。
    (可以利用用户对其的信任展开攻击:黑客可以通过购买传输层安全性( Transport Layer Security,简称 TLS )证书,使其假网站上的流量被加密,并成功诱骗浏览器。在浏览器误将该网站标为安全网站后,黑客将得以进行网络钓鱼攻击。)
    不知道黑客能不能买到 he 弹的发射密码。
    eGlhb2Jhb2Jhbw
        5
    eGlhb2Jhb2Jhbw  
       2019-12-03 17:50:20 +08:00
    @eGlhb2Jhb2Jhbw #4
    尴尬,看错了,是给钓鱼网站上 https (再次逃
    learnshare
        6
    learnshare  
       2019-12-03 17:51:22 +08:00
    @eGlhb2Jhb2Jhbw 这网站的套路以及转载文章的操作,基本能看出来赚钱的手段了
    eGlhb2Jhb2Jhbw
        7
    eGlhb2Jhb2Jhbw  
       2019-12-03 17:54:39 +08:00
    @learnshare #6 查了下 whois,感觉信息还算靠谱,就是不知道是不是借了个 org 的壳子。
    virusdefender
        8
    virusdefender  
       2019-12-03 17:55:59 +08:00
    打过一些交道,让你去他们单位?可以问下地址,看看是不是上地那个
    eGlhb2Jhb2Jhbw
        9
    eGlhb2Jhb2Jhbw  
       2019-12-03 18:01:12 +08:00
    @learnshare #6

    事业单位。。。
    xiaotuzi
        10
    xiaotuzi  
    OP
       2019-12-03 18:02:22 +08:00
    @virusdefender 他说的就是网站上挂的那个地址,但是我有点搞不懂这个,他们本身没有技术去找漏洞,反而是拿别人的找的漏洞挂网站上,还通知我们有人投漏洞在他们网站,套路有点深。
    virusdefender
        11
    virusdefender  
       2019-12-03 18:04:36 +08:00
    @xiaotuzi 有可能是 https://www.cnvd.org.cn/ 通报的,话说 csrf 如果在后台会有更大危害吧
    xiaotuzi
        12
    xiaotuzi  
    OP
       2019-12-03 18:08:40 +08:00
    @virusdefender 是进入后台才有这个 csrf。。。问题是后台账号就只有管理员才有啊,如果没有管理员账户就没办法爆出这个问题。
    leokino
        13
    leokino  
       2019-12-03 18:56:55 +08:00
    @xiaotuzi 乌云模式转职国家队
    PHPer233
        14
    PHPer233  
       2019-12-03 19:02:23 +08:00 via Android
    这是一个国家级信息安全测评机构,属于事业单位,没有行政执法权,不必管他的漏洞通报。但为了保证自身业务安全,也不要掉以轻心,要认真核实漏洞情况。
    xiaotuzi
        15
    xiaotuzi  
    OP
       2019-12-03 19:40:24 +08:00
    @viztorix
    @PHPer233
    好的,有机会我会了解下情况
    molvqingtai
        16
    molvqingtai  
       2019-12-04 00:15:34 +08:00 via Android
    信息安全机构我懂,但叫你去他们公司是什么操作
    virusdefender
        17
    virusdefender  
       2019-12-04 10:44:01 +08:00
    @xiaotuzi csrf 和你进没进后台没关系吧,只要请求能发给你就行,要不你发我下漏洞详情看看?
    scukmh
        18
    scukmh  
       2019-12-04 10:48:12 +08:00
    不需要进后台。(
    victoryss
        19
    victoryss  
       2019-12-05 14:10:38 +08:00
    julyclyde
        20
    julyclyde  
       2019-12-06 11:22:04 +08:00
    国家级管安全的是 https://www.cert.org.cn/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2802 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 14:13 · PVG 22:13 · LAX 06:13 · JFK 09:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.