WELZ
2018-01-21 11:18:45 UTC
我收到了一封發送到techsupport @ websitename .com的電子郵件(相當普通的電子郵件),說我的網站等存在安全漏洞。等等
我的最初反應是這是一個騙局。 (他們如何/為什麼找到我們的網站。)
但是,(到目前為止)他們似乎並沒有在尋找錢,他們還通過gmail帳戶通過電子郵件發送了電子郵件(在我看來,這似乎不可行) ,垃圾郵件通常是從怪異的域發送來的)-谷歌也將其標記為重要。
整體寫作顯然沒有受過良好的教育,但並不像平常那樣糟糕。
電子郵件地址似乎也像遊戲玩家的地址(有些怪異的名字和幾位數字)
這是電子郵件地址:
您好,
我在“ 網站名稱 .com”中發現了一個Web應用程序漏洞[XSS],該漏洞可能導致攻擊者執行未經身份驗證的任務,例如帳戶接管和其他惡意程序,如Web破壞(您的站點),端口掃描通過您的服務器到Internet上的其他服務器,或者可能使用您的網站來傳播勒索軟件,並且需要盡快修復此錯誤。
作為負責任的安全研究人員,我將此郵件直接發送至你沒有將該錯誤公開,因此,如果您擔心自己的網站的安全性並需要該錯誤的詳細信息和概念證明,請通過我的郵件-電子郵件 @ gmail.com p與我聯繫>
很高興知道-您是否提供任何獎勵(錯誤賞金)/贓物作為對報告錯誤的感謝之標?
謝謝
- (外來聲音)名稱
斜體出於隱私目的已更改 sub>
問題:
這是騙子會做的典型事情嗎?
如果是,他們試圖獲得什麼,那麼回復電子郵件要求更多信息的風險(如果有)
另一方面,如果實際上是合法的“負責任的安全研究人員”,我應該問什麼樣的問題。
評論不作進一步討論;此對話已[移至聊天](http://chat.stackexchange.com/rooms/73274/discussion-on-question-by-welz-email-received-regarding-security-flaw-in-website)。