12306 接入补天，悬赏漏洞。

悬赏金多少万？

五亿 : 两千

一个众所周知的漏洞：自签名证书可以进行中间人攻击～请问拿奖金要联系谁？

@xatest
12306可能不懂。
也或者是不怕，但是不怕你悬赏干毛！

这个自签名的证书，一个恶意的手机应用就很容易在手机上截获所有通讯信息

2万还可以

@bluu 说很容易不恰当。自签证书私钥未泄漏时，本身是安全的。
自签证书风险之一是私钥保管不善导致泄漏。之二是，访问者知道它用的是自签，首次访问会去安装根证书，中间人可以在此时替换根证书，从而导致本机的证书体系失效；或者因为是自签，所以必须无视安全警告，从而无法判断12306网站的真伪。

每次弹出证书不信任的时候挺烦的…@bluu

我觉得两万都不太够

已经设置为最高奖励一千了
看到一个“带头大哥”的，轻轻松就拿了三四千，估计是漏洞太多，铁道研究院不得不降低奖励的金额

最高好像2000！

@xatest http://loudong.360.cn/company/info/id/1597

那个带头大哥真乃神人也！

@harrysummer 提交可真多~

@xatest 你能搞得到私钥？

它要求用户下载并导入根证书，
问题是那个根证书的下载页面、下载链接都是 plain HTTP..

要确保这方面万无一失，还是得全站 HTTPS 加上 HSTS，再提交给浏览器厂商。

不然也就只能要求用户少用公共 Wi-Fi 啊什么的降低些许风险了..

没有内置根证书的话，通讯被截获的风险是100%

那个带头大哥应该不是一个人吧？一天提交不同网站那么多漏洞。。。。吓哭

带头大哥 = 佚名