WooYun.org

蚂蚁已经从赶集分出去了，昨天我们监控到你的测试，已经通知他们去修了。如果下次有乌云审核不通过、或者想要礼品的漏洞，可以联系security@ganji.com

@赶集网 检测到还不能给多点rank？？

@番茄师傅 你提交前我们就检测到了为什么还要多给你一点。

@xsjswt 检测到的难道不是我测试的那次吗？

@xsjswt 啥逻辑阿？检测到了就是你的了？检测到了你防住了吗？要是人家来个蠕虫你也检测到了有啥子用？

@pandas 感谢支持

@xsjswt 神一样的逻辑。有监控，问题是有防御？为何这么逗

@pandas 我就知道你们要吐口水。乌云只是我们收漏洞的渠道而已。我们有其他渠道拿到漏洞，那你再在乌云报，我只是为了避免修复前被公开，才给你确认的。不然我直接给你忽略了。请参考TSRC

@魂淡、 漏洞的发现渠道，修复，防御，是三个问题，你作为白帽子你分清楚了么。漏洞不能重复记分你懂么。我从其他渠道拿到了漏洞，你再在乌云提交，我为什么一定要给你rank。rank就是wb，wb就是钱。乌云为什么要出钱替你买单，或者乌云为什么要出钱替我厂商买单。都是出来混的，能帮贱心省一点是一点，虽你怎么说。说实话，这个漏洞我甚至可以给你忽略。为什么，因为蚂蚁现在不是赶集的了。出于负责任的态度：我们有联系蚂蚁的方式；我们不认领蚂蚁也多半不去认领；漏洞现在还没有修复。所以我给你确认了1rank，有什么问题。不是说我乱给分，我如果乱给分，那你觉得这个我应该给多少 WooYun: 赶集网主站2个存储型XSS + 小蠕虫 。我有没有从背后拿到，你们根本不知道，那个漏洞我也给1rank你根本无话可说

2014/8/18 15:54:38不玩黑的剑神'" 2014/8/18 15:54:38有人盲打我们mayi.com的后台不玩黑的剑神'" 2014/8/18 15:54:42已经被我们监控到了不玩黑的剑神'" 2014/8/18 15:54:47要是他发乌云的话不玩黑的剑神'" 2014/8/18 15:54:52我是不是要蛤蛤一下2014/8/18 16:03:14XXX-疯狗 2014/8/18 16:03:14蛤蛤一下？2014/8/18 16:06:38不玩黑的剑神'" 2014/8/18 16:06:38到时候给他一个低，1rank不玩黑的剑神'" 2014/8/18 16:06:39蛤蛤2014/8/18 16:11:32XXX-疯狗 2014/8/18 16:11:32按照影响 该多少rank就多少rank吧 如果他好心提交的话 不玩黑的剑神'" 2014/8/18 16:13:09我们要学习tsrc不玩黑的剑神'" 2014/8/18 16:13:20蚂蚁都不是赶集的了2014/8/18 16:13:27不玩黑的剑神'" 2014/8/18 16:13:27照理我给他忽略都没问题

洞主收到cookie是什么时间 18号15：43：06，我和疯狗的对话是什么时间，15：54:38。如果洞主你确信你在乌云的帖子是在15：50之前写的，我去zone感谢你11次

@xsjswt 说这么一大堆，感觉你就像个没长大的孩子

发件人：root@idc<root@idc>收件人：安全组报警邮件组<xxxxxxn@ganji.com>时间：2014年8月18日 (周一) 15:48大小：7 KB

@pandas 你说对了，我就是小孩，你们一群人欺负小孩

@pandas 我高中没毕业就来帝都讨饭，我容易么，你们一群X阔还在网上欺负我这样一个讨饭的小孩，呜呜呜呜

@xsjswt 我难道能一直盯着xss平台么？？ 下午我就开学。。 高三。。 没想的今天碰到这事情。。。

我也是小孩。。。

@疯狗

@番茄师傅 那不就对了。你没一直盯着xss平台，我可一直盯着邮件报警。我也没忽略你漏洞。而且目测你自己也没注意，这个漏洞被小厂商了。我就算给你10rank，你的wb也要处以4，有什么区别。在乌云混，不要在意wb和rank这种细节。给你多少rank和wb都没有问题，又不是我的wb。或者你学习下 @小胖胖要减肥 ，献上你的菊花，以后你的漏洞我就都是10 rank起

@xsjswt 文章是收到cookie 后半小时发出的 今天才通过审核。。

@番茄师傅 就算过了半小时，你发邮件给我。也是可以有奖品的。乌云1wb=10rmb，差不多也算是奖品了，你凑合着玩吧。你帮我们省了个奖品

我只是看社区看到过来看看而已，我也不偏袒谁，只是吧，人家看在是赶集网的面子上，才去测试了蚂蚁，多少人家付出劳动了，我觉得吧，不能因为你们系统提前发现了，就否决了白帽子的付出。洞主也别太计较了。

@小怿 是的，在乌云混，不要在意rank和wb这些小细节。重要的是大家在这里水楼水得很开心你，而且学到了东西。

@xsjswt 有些白帽子只是想获得一个肯定，你们和蚂蚁分家了是你们的事，你们又没给我们看你们的离婚证。。 -_,

@小怿 我没忽略漏洞，只是说明了为什么只给1rank，还不算肯定么？至少不算否定吧。

@番茄师傅 乌云感谢你提交这个漏洞，积极上报这个态度非常支持你（说实话我都不确认这个漏洞会有人报告上来）。乌云就是一个透明开放的平台，相比封闭的环境能让各位都看到厂商还白帽子对待漏洞的态度。

@疯狗 我帮你省了3个wb，30rmb，然后你就是这样来说我的

@xsjswt 好吧其实前面照你这么说也还算合理。毕竟已经实时监控，且蚂蚁不在赶集网旗下，1rank也算是合理了吧，其实如果厂商回复不是说从其他渠道取得而是说蚂蚁已经分出去了倒不会这么反感。另外虽然你说1wb=10rmb但是集市的东西貌似都只有1：5的比率左右。

@xsjswt 我擦 我好久不发洞了 你给我20么 我让疯狗给我首页

@疯狗 作为甲方，监控发现确实是个问题，很多公司的wooyun都是领导关注的东西，监控花了那么大力气做，结果还评级个高，就看内部怎么想了

@魂淡、 剩下的5块钱你自己找xsser要，是他自己号称的1wb》10rmb

对于赶集我只能呵呵，上次的漏洞询问完修复方法就直接忽略的主儿，小孩儿，呵呵，

赶集真叼。。。

不去测试你们能检测到。。。好无耻的说法。请官方屏蔽掉 security@ganji.com 类似的关键字，避免有人打广告

哎呀你们不要吵了，人官方说话了吗?有什么问题要和厂商沟通不要和不认识的人乱争，争什么嘛争！@赶集网 出来说句话呗看他们在那儿闹得，给个官方回复呀，不回复就是默认 xsjswt 说的就是你们的态度咯

@肉肉 他本来就是官方的。。。官方内部邮件都给贴出来了好不。请看13楼

@px1624 哎呀，谁知道哪里来的呢，人官方没说话呢@赶集网

@xsjswt 呵呵，赶集全体员工素质都跟你丫似的这么低么？别天天的出来拽B，用厂商账号的时候装人样，用白帽账号满嘴喷粪。你做到最基本的了么？“平等，尊重，贡献，共享”你做到了么？你不尊重我们，我们凭什么尊重你？就用清一色的1rank来应付我们？？ @xsser @疯狗 这货就应该封号

@px1624 这是@xsjswt 手打的好嘛，人家赶集网的素质能这么差吗？

我突然觉得我那里说错了，像@xsjswt 郑重的道个歉，真心对不起！我觉得这封邮件，还抄送给了环卫组。。 @px1624 同学，你觉得我说的有道理吗？

@肉肉 默认就好了

@xsjswt 你是不是怕赶集被封，你被扫地出门啊？？ 不是就出来吱个声

@番茄师傅 绝对是啊，这还用问……这种jian人就是这样，哎

@xsjswt 你这么屌，你领导知道么

@番茄师傅 吱，不要在意这些细节。该几rank就几rank，该忽略就忽略。

@肉肉 呵呵，你看，你们乌云的白帽子就这素质了，各种骂娘出来了

@xsjswt 呵呵，说得你不是乌云白帽子一样，你有什么资格说这样的话

@肉肉 谁说我是白帽子了，我从来没说过我是白帽子，谢谢

@xsjswt 你是什么帽子和我有什么关系，我就那么随口一说。

@xsjswt 有种你叫@疯狗 注销你的id我就相信你不是白帽子了

@Mosuan @疯狗 你要是敢保证，不被注销ID的都是白帽子，那请你马上注销我的ID