我们的建议
如果您发现校内网站的漏洞,请直接联系该单位的技术负责人,告知漏洞细节,争取尽快修复,保证学生群体的信息安全和隐私权。
我们不建议汇报到乌云等校外平台,也不建议通过任何第三方平台汇报。因为漏洞细节更多的透露都会增加风险,直接告知相关单位是最有效的途径。
我们认为,对于汇报安全漏洞的同学,在漏洞挖掘中涉及的攻防操作,在未造成重大影响的前提下,不应予以追究。如果您遇到类似情况,请及时联系该单位负责人进行沟通,争取理解和包容,我们可以提供必要的帮助。
漏洞完全解决,并且不会留下后患的情况下,我们鼓励同学们将漏洞报告发布到自己主页,也可以投稿到本站,目的是增强全校学生的信息安全意识,鼓励积极注意安全漏洞并合理汇报,如需要投稿请告知我们。请确保漏洞的危害被全部消除,否则,出于保护全校学生的信息安全与隐私的需要,我们不予登载。
汇报的界限
属于漏洞挖掘的一部分,但本身不会造成明显的安全问题的,例如网页未隐藏服务器软件信息、缺乏 HTTPS 导致窃听等等,在当前的时期下,认为汇报是没有必要的。
但是类似于弱密码的问题,在全校各单位很普遍,是否汇报,可作取舍。建议主动联系部门负责人。
汇报渠道
校团委
赵林 老师 电话:63607314 E-mail:linzhao AT ustc.edu.cn
教务处
邓继胜 老师 电话:63607220 E-mail:dengjsh AT ustc.edu.cn
图书馆
陈超、宋虎、陈敏豫 三位老师 电话:63606494 E-mail:chao AT ustc.edu.cn sonnie AT ustc.edu.cn cmy AT ustc.edu.cn
网络信息中心
陈蕾 老师 电话:63603900 E-mail: chenlei2 AT ustc.edu.cn
大物实验平台
韦先涛 老师 电话:13721082708 E-mail: wxt AT ustc.edu.cn
(如果您是校内其他单位的老师,愿意挂您本人的信息在此,请联系我俱乐部负责人,感谢您对全校信息安全的重视和负责)
(如果您是正打算汇报漏洞,但未找到相关机构,可到相关网站上查找,或直接汇报该部门负责人,也可转发网络信息中心陈蕾老师。如需更多帮助,请直接联系我们)