V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
DreamCMS
V2EX  ›  奇思妙想

做个查自己网站漏洞交钱的网站,这个犯法么

  •  
  •   DreamCMS · 2015-07-09 18:16:15 +08:00 · 3613 次点击
    这是一个创建于 3432 天前的主题,其中的信息可能已经有所发展或是发生改变。
    就是人工查漏洞,查到漏洞截图,放在这里网站,不说漏洞情况,只给看入侵截图,证明有漏洞,付费才能看到漏洞详情,

    当然做的正规一点,只要验证过的网站能查看漏洞详情这是前提。

    然后人海战术,平台只收扣点,类似现在P2P样子
    第 1 条附言  ·  2015-07-09 19:15:30 +08:00
    脑洞在大一点,做一点付费查看网站,不管你什么内容,可以设置此处付费。
    第 2 条附言  ·  2015-07-09 19:16:22 +08:00
    譬如XXX下载地址:地址内容付费。
    26 条回复    2015-07-27 08:24:22 +08:00
    Perry
        1
    Perry  
       2015-07-09 18:23:34 +08:00 via iPhone
    类似乌云的付费服务吗?
    frankzeng
        2
    frankzeng  
       2015-07-09 18:27:04 +08:00
    这算不算是敲诈
    mzsongyan
        3
    mzsongyan  
       2015-07-09 18:30:35 +08:00
    一般一说漏洞情况就很好排查漏洞原因了
    DreamCMS
        4
    DreamCMS  
    OP
       2015-07-09 18:30:58 +08:00
    @Perry 我想的 那个简单 粗暴的那种,就是平台 只提供 存漏洞详情 跟 入侵截图 两者信息,至于人工查漏洞如何提醒网站所有人的,不在我范围内,网站管理者到我这里能看到入侵截图,确认无误,然后点击付款,就能看到漏洞详情。
    a6377508
        5
    a6377508  
       2015-07-09 18:31:01 +08:00 via Android
    乌云?
    Luzifer
        6
    Luzifer  
       2015-07-09 18:38:13 +08:00
    不算是敲诈吧,是个卖安全服务的平台吧。
    Luzifer
        7
    Luzifer  
       2015-07-09 18:40:04 +08:00
    不过国人商业操守不够,即使平台本身都会变质,变成付费黑客服务平台
    Gonster
        8
    Gonster  
       2015-07-09 18:40:21 +08:00 via iPhone
    入侵截图... 好可怕
    DreamCMS
        9
    DreamCMS  
    OP
       2015-07-09 18:46:34 +08:00
    @Gonster 这个算给管理者看的证明,万一有人恶意骗钱呢,数据可以模糊处理
    shiny
        10
    shiny  
       2015-07-09 18:50:04 +08:00
    好像有点类似阿里的渗透测试服务。
    Gonster
        11
    Gonster  
       2015-07-09 18:55:29 +08:00 via iPhone
    @DreamCMS 这不是自己证明自己非法入侵了这个网站了吗
    x4
        12
    x4  
       2015-07-09 19:00:10 +08:00 via Android
    非法入侵是触犯法律的,孩子,回头吧
    freed
        13
    freed  
       2015-07-09 19:02:53 +08:00
    小的不理你 大的说不定直接弄你.

    乌云现在已经很成熟了 国内也有很多漏洞平台.有别人免费提供出来的 你搞个收费的 会是什么后果?

    大公司都有自己安全应急响应中心 基本都可以报告漏洞 会给积分 然后积分换礼品之类的奖励 在乌云提交的也有不少公司会送礼物什么的

    一些小公司.愿意为这些付费的 肯定都是直接找各种安全公司来测试 黑盒白盒啥的..做这些业务的公司多的是.

    也可能找什么乌云众测 360众测之类的.

    你自己都把入侵截图放出来了 让人家缴费才给详情 这样赤裸裸的完全可以定义为敲诈了. 这种和挂个黑页啥的 让联系QQXXXXXXX 有什么实质区别吗....
    freed
        14
    freed  
       2015-07-09 19:06:30 +08:00
    真要靠这个赚钱的可以考虑直接到360的补天平台玩玩 或者参加乌云之类的各种众测

    就算不参加众测 提交各种小漏洞给厂商本身 都可以换不少礼品赚外快...不过这个现在大公司基本都被搞烂了...各种自动化扫描XSS之类...
    Gonster
        15
    Gonster  
       2015-07-09 19:17:37 +08:00 via iPhone
    不谈用户会不会触犯法律这个问题,另外我还想到一点,由于具体漏洞的利用方式不可见,那么企业怎么判断发布的漏洞是不是重复的,会不会是重复付款,会不会是已经修复的漏洞
    zhjits
        16
    zhjits  
       2015-07-09 20:44:58 +08:00
    据说 A 家的黑科技可以做到异常输入马上记录下来然后那边就开始修了……然后你会发现提交了两下以后洞没了
    Pseric
        17
    Pseric  
       2015-07-09 20:49:20 +08:00
    台湾也有类似的服务。
    em70
        18
    em70  
       2015-07-09 20:51:32 +08:00 via Android
    免费检测,付费修复漏洞或者提供方案咨询更靠谱一点
    hgc81538
        19
    hgc81538  
       2015-07-09 21:30:29 +08:00 via iPhone
    mrjoel
        20
    mrjoel  
       2015-07-09 22:30:23 +08:00
    取决于你是先收钱还是先测试漏洞
    Quaintjade
        21
    Quaintjade  
       2015-07-09 23:22:09 +08:00
    x4
        22
    x4  
       2015-07-09 23:51:32 +08:00 via Android
    @freed 粗粮算大公司吗?上次有位同学发现个大漏洞,邮寄了个手机。。。
    msg7086
        23
    msg7086  
       2015-07-10 12:01:29 +08:00
    不算诈骗吧。不付费只是不给看,又不是会恶意公开的……
    然而这种平台并没有什么卯月。
    freed
        24
    freed  
       2015-07-10 15:06:54 +08:00
    @x4 算....
    znoodl
        25
    znoodl  
       2015-07-10 22:16:05 +08:00
    首先你得保证你的网站没漏洞,不然......
    eben
        26
    eben  
       2015-07-27 08:24:22 +08:00
    你如果没有很强大的背景,还是不要作死了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2585 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 06:06 · PVG 14:06 · LAX 22:06 · JFK 01:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.