然后再站到厂商角度，厂商不希望自己的产品的缺陷被公布其实也能够理解，谁也不想有人说自己的孩子这不好那不对。但是有安全缺陷却是不争的事实。所以关于这点上，作为白帽子，主动耗费精力寻找漏洞，其实并不是为了所谓的炫技也罢，利益也罢。更多的也是在寻求自我技术的认可和突破。老实说很多漏洞，就平台的那点奖励，可能还不如黑市的一个零头。但是很多白帽子依然选择提交到平台，让漏洞走正规的处理流程。大家的诉求是一致的。都是希望整个大环境能够越来越安全，关于这点希望楼主也能理解
楼主其实只是站在自己的角度去考虑，但是既然自己开发了产品。并公布出来让大家使用。就有义务保证自己产品的安全性。这在任何市场上都是这样的，你不能说我买了个手机结果手机炸了。怪用户要买这种事情，道理法律上都讲不通。所以在这个层面上，白帽子去挖掘一个产品的漏洞无可厚非，这个行为也没有什么可争议的。很多产品其实就是靠着这众多白帽子闲的蛋疼最终从一个有缺陷不完善的产品逐渐迭代到完善的。
在这件事情上我个人的看法也是这样。厂商只站在自己的角度去考虑，而白帽子也只是站在自己的立场上做事情，其实很多时候换位思考一下，可能问题矛盾也就没有那么突出了。相互理解一下。
最后。现在漏洞披露都是有正规途径和流程的。不管是交到平台，或者是 CVE/CNVD 之类的。都是只公布漏洞的标题。细节。POC，EXP 概不公布，但是也并不妨碍白帽子根据标题进行漏洞的复现，作为开发者我觉得还是有义务在遇到问题的时候尽快处理问题，一个产品有缺陷很正常，及时的处理让人放心比假装看不见要好得多。
楼主其实也没必要对白帽子充满愤慨。无论对方出于什么动机，至少他没有吧这个漏洞危害扩大，没有去黑市上兜售。没有利用漏洞做黑色收入，仅仅是提交到平台，之后按照平台规定正规处理，我觉得就没什么问题。
白帽子和厂商之间的关系本身就很微妙。很多时候白帽子也是很被动的，并不是不想找厂商，真的是很怕。反手一个举报就进去待几年。
做安全本就是戴着脚镣跳舞。而安全从业者又得不断学习不断去让自己能力跟上时代。个中滋味真的只有做安全的人才能体会。人生苦短，何苦互相伤害呢。

同样是做漏洞挖掘的。其实站在安全研究者角度。还是更信赖平台一些。主要原因还是对于厂商的态度不明白。万一发生类似世纪佳缘的事情，对于白帽子来说几乎是没有什么能力去做到自保的。之所以提交到平台，从某种程度上来说也是寻求自我保护的一种方式。

任何形式的 VPN 就可以
PPTP/L2TP/IPSEC/OPENVPN 随便。
VPN 正确用途是打通两个网络的。用 ss/ssr 反而有一种欲盖弥彰的意思。我自己家宽开了 pptp/l2tp/openvpn 三种。持续使用一年多了一点问题都没

信息安全从业 4 年多。公司刚搞下来，可以走合同加盖章什么正常手续，渗透这套实在是太熟悉了。。

微信 b64 eXc5Mzgx

只有我想问下楼主在哪个区么。我在 wegame 的梦回太古。楼主要一起么

明天上班给你看看吧

可以进群提供指导么。专业 CTF 赛棍选手 23333

我觉得根本问题还是要先排查可能的途径。单纯流量意义不大。而且对方用你机器做什么你也不知道。更别说一些 rootkit 技术或是混淆伪装之类你根本看不出来的方法

@wkl17 这个就得具体看服务器上跑了什么业务。需要做一些可能牵扯取证及攻击朔源的工作。做攻击行为分析。如果可能的话。我还是比较希望能够以远程的形式接入服务器看看到底对方是怎么搞的。找出问题根本在哪

基本判断。服务器已经是被入侵了。对方应该是用脚本批量化抓肉鸡之类的操作。个人猜测它对你服务器上应该什么都没动。而且下载这个 exe 的过程也被 HIPS 拦截了。
建议对服务器整体的安全做一个检查。去看看对外开放的端口(netstat -ano|findstr 0.0.0.0)。如果有用到 MSSQL 版本<=2005 请将 MSSQL 服务降权运行。打上最新的补丁(Windows Update 就可以)
具体环境还是要因机器而异。如果方便的话我还是希望能够看看定位一下具体问题然后再做处理
有其他的安全上的问题可以继续讨论

散了散了。问了当事人。小白是假的。闹着玩的
命令是 rm -rf/ 缺个空格
假小白不仅补了空格还加了*
主角燃灯师傅以为真的敲了。吓得不轻 2333

安全行业。简单说下作为安全从业者对账号密码传输以及存储的要求
传输层。账号明文。密码前端加密(无论什么方式。最好是单向哈希或是非对称算法)。带验证码或类似防爆破机制。
HTTPS 确实解决了传输层嗅探问题。但是如果用户计算机上被安装了恶意根证书。那 HTTPS 和 HTTP 并没有太大区别。
存储层。账号明文。密码最好单向哈希。带盐。不同用户盐不一样。算法足够复杂(单次 md5 基本可以等同于不加密)
作为后端来说并不需要知道用户的密码是什么。只需要知道输入的对不对就可以了(不管是修改密码还是登陆的逻辑)
有其他的问题欢迎讨论

凑成分母

@priate Mac 并不影响做安全啊。御剑主要是扫目录。用 dirbrute 代替即可。字典都是一样的。其他绝大部分 win 下的工具都可以在 mac 下找到替代

mac 有 unix 命令行。比 win 好多了
扫端口有 nmap 和 masscan
搞 web 有 Burp Suite。有 chrome。
菜刀类 Webshell 管理可以用蚁剑
mac 还可以装 msf 整套。brew 一条命令搞定。比 Win 简单多了
sqlmap 也是 brew 一把梭
mac 自带 py 环境。还可以 brew 直接装更新的。
git 也是一条命令搞定
扫目录这些都是 py 脚本
mac 下也有 IDA。有 010Editor。
这些常用的安全工具几乎就齐了
写程序有 VSCode 有 Sublime。IDE 统统都是跨平台的
大部分工具不是 jar 就是 python。都是跨平台的东西
我打 CTF。出去做渗透项目一直用 mac 本子。除非平台限定(exe 类程序)。不然我几乎就不开 Win 虚拟机
我有点不明白。你的难点在什么地方。我用 Mac 快 4 年了。天天跟安全打交道。至今没感觉 MacOS 这个操作系统限制了我什么