给国内知名大厂提BUG有感：安全是一种意识

正文

请到「今天看啥」查看全文

因不确定其URL的作用，只是浅显的给了两个最基本的建议。 （请见图3）

官方答复

没有安全隐患！

漏洞状态

1.官方： 以为修复，然后忽略

2.我： Open (2019.07.27)

#原因

#1.仅屏蔽了原来上传WEB页面URL访问

2.上传图的API接口仍可以随意上传

但我也不会再去提BUG给平台，就这样喽，已在心里拉黑大厂，哈哈哈，总结请见第三节。

今天验证漏洞未修复：

二、事件经过

周一：发现漏洞

1.手机收到推送消息“测试链接”（请见下图4）

2.测试长期养成的好奇心，手痒点击通知，自动安装了其官方某APP

3.玩了一下乏味，自已的测试习惯，用抓包工具玩一玩

4.所有请求都是https的，手机就算装了Fiddler证书，APP操作过程也会提示证书不安全，安全意识很高哈

5.花3分钟遍历了一下界面，发现个URL，WEB打开显示“内销xxx测试图片上传”界面...（请见图6）

周一： 反馈平台

1.谨慎上传了多张图片，WEB上传，API接口上传都成功... [一脸蒙逼图]

请到「今天看啥」查看全文