您好:
我们收到了来自我们 Discourse 托管实例的一名研究员的安全报告。我仔细阅读了报告,但由于我对该平台了解不足,其中一些细节对我来说并不清楚。
我阅读了安全指南,似乎我们需要通过 HackerOne 提交报告。问题是我可以选择让他们直接报告,或者自己报告(鉴于我的知识差距,可能会在翻译中丢失信息)。
在这种情况下,我是否应该直接将报告转发到您的邮箱?那样的话,我担心它可能不会被优先处理(您在指南中提到了这一点)。
抱歉提出这些问题,我只是想弄清楚下一步该怎么做。感谢您的指导,我们非常喜欢你们为我们所做的一切!
祝好。
尝试让研究人员先将其提交给 HackerOne。研究人员通常更喜欢这样做。
这几乎可以肯定是假的。“安全垃圾邮件”是一个大问题。但用“哦,非常感谢!我们很高兴您发现了这个严重的问题。请尽快向 Hacker One 报告以获得您应得的报酬。”来回应他们,这可能是向您的上级证明您在工作的同时又能让垃圾邮件发送者闭嘴的方法。
祝你好运。
好的——会的。感谢您的确认。
哈!我认为这份报告是真的。否则我不会来这里寻求建议。
无论如何,我理解你的感受。我是我们所有平台的唯一 DevOps 人员,被一些“乞讨赏金”的猎人骚扰确实很烦人。不过,我理解你的沮丧。
祝好。
在这种情况下,我的回应也是恰当的。
任何足够聪明能发现 Discourse 漏洞的人,也应该足够聪明能发现他们的 Hacker One 页面。
如果他们确实发现了安全问题,我希望在问题解决后能听到相关信息!
如果您收到的报告是未经请求的,那几乎可以肯定是垃圾邮件。我仅提及这一点是给其他阅读此帖子的读者看的。
谢谢,我明白关于垃圾邮件的事情。
在这种情况下,它不是未经请求的,我通过我们自己的安全策略渠道阅读并核实了提交给我们的报告。我们有足够的专业知识来减少一般的垃圾邮件。该报告似乎是一个合法的错误(如果尚未成为安全问题,则有待调查)。
我不想让人们在这里因为缺乏对 Discourse 内部机制的完整了解而驳回每一份报告。
我将工作人员早些时候的回答标记为正确的方法,即向 HackerOne 提交所有报告。
祝好!
我分享 @raisedadead 的经验。
在过去的几年里,我们和我们的一些客户曾多次遇到安全研究人员联系我们的客户或我们,报告他们后来通过 HackerOne 披露的严重安全问题。安全研究人员并不总是关注平台本身;有时他们会关注与特定公司或社区相关的网络或服务。在这种情况下,他们自然会向论坛的实际所有者报告,而不是软件的开发者。此外,安全问题也可能由定制插件或特定配置引起。