同源漏洞我不收
今天看到圈子里一个小哥发文说,自己1月份提交的src漏洞,直到今天还没过,最终被审核忽略。
审核给的理由是,你提交的漏洞和较早之前提交的漏洞重复了,所以被忽略。
并且还给了个定义叫同源同类漏洞只收集一例。
这个解释确实牵强了,如果不是一个人同时提交5个同一参数的漏洞,你给认定是同源漏洞,那别人去年提交的RCE,今年又测出来还有RCE那难道今年这个不算漏洞,理由是去年已经收到过了。
难道在审核眼里以前收过同样的漏洞以后再有这样的漏洞都不算了。
上报就下架功能
上报我就下架功能,然后你这漏洞就不存在,这种情况在SRC挖掘的时候也算是经常存在的事情了,你提交了,平台最后拒绝,最关键告诉你没有这个功能。
确实你再次访问,这个功能没有了,这你找谁说理呢?
为啥审核不认呢?
有幸早些年和某互联网的SRC审核聊过天,大概知道一些被审核拒绝的内幕。
1、类似同源漏洞,基本上就是业务不认,因为同样的漏洞已经出现过,现在又出现了同样的漏洞,业务上没法给领导交差,因此压着审核不让认。
2、类似漏洞上报了,但是功能点被下架了,这一点大概率这个系统没啥人维护了,或者属于影子资产,被发现后赶紧下架,大概率是资产管理问题,也会被审核不认。
3、最大概率是不会因为钱,因为公司既然做了SRC的预算,这钱发不发出去都不会落到审核口袋里,因此审核不会因为钱的问题压着漏洞不认的。
本文转载自: https://blog.csdn.net/jxiang213/article/details/142489294
版权归原作者 jxiang213 所有, 如有侵权,请联系我们删除。
版权归原作者 jxiang213 所有, 如有侵权,请联系我们删除。