26

今天,在线安全是一个非常重要的因素。许多企业完全基于在线,只有使用网络浏览器才能查看大量敏感数据。

寻求知识来保护我自己的应用程序 我发现我经常测试其他应用程序的漏洞利用和安全漏洞,也许只是出于好奇。随着我通过测试自己的应用程序、阅读零日漏洞以及阅读《Web 应用程序黑客手册:发现和利用安全漏洞》一书扩展了我在该领域的知识,我开始意识到大多数在线 Web 应用程序确实是暴露了很多安全漏洞。

所以你会怎么做?我没有兴趣破坏或破坏任何东西,但我最大的黑客“突破”我决定提醒页面的管理员。我的询问很快被忽略了,安全漏洞还没有修复。他们为什么不想修复它?多久会有一个心怀不轨的人闯入旅馆并选择摧毁一切?

我想知道为什么这些天没有更多地关注这一点,而且我认为在实际提供测试 Web 应用程序的安全漏洞方面会有很多商机。是只有我有太大的好奇心,还是有其他人有同样的经历?在挪威,实际尝试闯入网页是受到法律惩罚的,即使您只是检查源代码并在那里找到“隐藏密码”,使用它进行登录,您已经触犯了法律。

4

8 回答 8

14

我曾经在一家在线有声读物商店中报告了一个严重的身份验证漏洞,该漏洞允许您在登录后切换帐户。如果我应该报告这个,我也很谨慎。因为在德国,黑客行为也是法律禁止的。所以我匿名报告了这个漏洞。

答案是,虽然他们无法自己检查这个漏洞,因为该软件是由母公司维护的,但他们很高兴我的报告。

后来我得到了回复,他们确认了该漏洞的危险性,并且现在已修复。他们想再次感谢我提供这份安全报告,并为我提供了 iPod 和有声读物积分作为礼物。

所以我相信报告漏洞是正确的方法。

于 2009-03-20T17:51:41.087 回答
9

“我发现我经常测试其他应用程序的漏洞利用和安全漏洞,也许只是出于好奇”。

在英国,我们有“计算机滥用法”。现在,如果众所周知,您“查看”的这些应用程序是基于 Internet 的,并且 ISP 的相关人员可能会费心进行调查(出于纯粹的政治动机),那么您就会敞开心扉,受到指责。除非你是英国广播公司,否则即使做最轻微的“测试”也足以让你在这里被定罪。

即使是渗透测试机构也需要希望进行正式工作以为其系统提供安全保证的公司的签字。

为了对报告漏洞的难度设定预期,我曾与实际雇主进行过此操作,其中提出了一些非常严重的问题,人们已经坐了几个月,从品牌受损到完全关闭运营以支持每年£ 100m 电子商务环境。

于 2009-03-23T13:33:44.880 回答
6

我通常会联系网站管理员,尽管回复几乎总是“天哪,你破坏了我的 javascript 页面验证,我会起诉你”。

人们只是不喜欢听到他们的东西坏了。

于 2009-03-20T17:32:26.033 回答
6

通知管理员是最好的做法,但有些公司就是不会接受不请自来的建议。他们不相信或不相信消息来源。

有些人会建议您以破坏性的方式利用安全漏洞来引起他们对危险的注意,但我建议您不要这样做,您可能会因此而产生严重后果。

基本上,如果您已通知他们,这不再是您的问题(不是一开始就存在)。

确保您引起他们注意的另一种方法是提供有关如何利用它的具体步骤。这样一来,任何收到电子邮件的人都可以更轻松地对其进行验证,并将其传递给合适的人。

但是最后,你什么都不欠他们,所以你选择做的任何事情都是伸出你的脖子。

此外,您甚至可以为自己创建一个新的电子邮件地址来提醒网站,因为正如您所提到的,有些地方甚至验证漏洞利用都是非法的,有些公司会选择追捕您而不是安全漏洞.

于 2009-03-20T17:35:25.650 回答
6

如果它不会影响很多用户,那么我认为通知站点管理员是您最多可以做的事情。如果漏洞利用具有广泛的后果(如 Windows 安全漏洞利用),那么您应该通知有能力解决问题的人,然后在您发布漏洞利用之前给他们时间修复它(如果发布它是您的意图)。

很多人对漏洞利用发布感到哭泣,但有时这是获得回应的唯一途径。请记住,如果您发现了一个漏洞利用,那么很可能是不那么利他的人发现了它并已经开始利用它。

编辑:在发布任何可能损害公司声誉的内容之前,请咨询律师。

于 2009-03-20T17:40:06.637 回答
3

我和你一样经历过。我曾经在一家 oscommerce 商店中发现了一个漏洞,您可以在该商店中免费下载电子书。我写了两封邮件:1)oscommerce的开发人员,他们回答“已知问题,不要使用这个paypal模块,我们不会修复”2)商店管理员:根本没有答案

实际上我不知道什么是最好的行为方式......甚至可能发布漏洞以迫使管理员做出反应。

于 2009-03-20T17:38:03.633 回答
3

联系管理员,而不是业务类型的人。一般来说,管理员会感谢通知,并有机会在事情发生之前解决问题并因此受到指责。上级,或者客服人员要经过的渠道,是律师介入的渠道。

我是一群人中的一员,他们报告了我们在大学的 NAS 系统上偶然发现的一个问题。管理员非常感谢我们发现了漏洞并报告了它,并代表我们与他们的老板争论(负责人想钉死我们)。

于 2009-03-20T18:24:51.320 回答
2

我们向主要开发人员通报了他们登录页面上的 sql 注入漏洞。说真的,这是经典'<your-sql-here>--品种。无法绕过登录,但可以轻松执行任意sql。2个月了还没修好!不知道现在该做什么......我办公室里没有其他人真正关心过,这让我感到惊讶,因为我们为每一个小升级和新功能付出了如此多的代价。当我想到代码质量以及我们在这个软件中投入了多少库存时,我也感到害怕。

于 2009-09-24T13:49:36.410 回答