9

假设您最近在几个主要在您所在国家/地区激活并在其市场中非常强大的网站中发现了一些重大漏洞。我说的漏洞和让我以超级管理员权限浏览管理界面一样糟糕。

你现在会怎么做?我在想类似的东西:

  1. 向公司报告问题。
  2. 公开宣布这些应用程序中存在安全漏洞,但未披露实际漏洞。
  3. 给公司时间来解决它的问题。(多少?)
  4. 在问题修复后,或修复宽限期已过(以先到者为准),充分披露漏洞。

你们有什么感想?您是否有一些材料可以阅读或分享经验?

4

9 回答 9

18

讲话。到。律师。

根据公司的不同,这可能会变得很棘手。通过说“在我宣布漏洞利用之前你有 xx 天的时间来解决这个问题”,你基本上是在说“按照我的期望去做,否则我会给你带来很多痛苦”。

另一个问题是,您是如何发现这一点的?您是否“正常”使用该网站,或者您是否看到了漏洞的潜力并决定看看它是否有效?记住这一点非常重要,特别是如果您正在考虑设置时间限制来解决问题。我不确定法律对您居住的地方有何规定,所以请与这样做的人交谈。

您最终可能会得到他们的感谢,一些用于进入 NDA 的现金(毕竟,您确实浏览了管理界面),并且您可能会在安全行业中获得一些荣誉。但是,要非常非常小心,并尝试寻求律师的建议。

于 2009-03-29T11:11:04.487 回答
5

我认为你在正确的轨道上。

这种情况下的一般趋势是向上述公司提交错误报告,并根据问题的严重性和修复所需的时间估计给他们一些时间。在那之后,如果公司没有另外要求你(为了溢价?),通常会有一个完整的披露。

但是,如果公司没有及时回复您/不承认您有权(我相信)为了更大的利益发布您的结果。

无论您选择做什么,都要妥善记录您与公司的沟通。这可能有助于避免不可预见的情况。

于 2009-03-29T08:52:01.013 回答
4

简单的说:

忽略它。

你的行为(不管你发现了什么)几乎总是违法的。因此,那家公司可以把你告上法庭,让你的生活变得悲惨。类似的事情以前也发生过。大多数时候,律师帮不了你。

一些不在安全行业工作的人可能不同意我的观点(也就是反对票),但他们去过那里,做到了。

最后一个正确的方法是,如果你有一个朋友在那里或一个私人联系人只是和他/她进行非正式的聊天(你可以稍后否认,并且不能作为证据)然后他/她可以说话看看这个并像内部发现一样报告。

对于报告开源/商业应用程序中的内容,您可能会发现这很有趣且很有帮助: http: //www.wiretrip.net/rfp/policy.html -responsible publishing- 但这完全是另一个故事,而不是在公司的实时网站中发现漏洞/ 基础设施。

如果它是一种商业产品并且你已经对其进行了逆向工程,那么它在许多国家仍然是非法的。因此,即使在产品中,您也必须小心。最近,Google / MS 等公司开始公开宣布如何报告其产品中的安全问题。

于 2009-03-29T12:26:16.693 回答
3

我个人会向公司报告,给他们一些合理的时间来纠正它。但如果他们认为需要更长的时间,也可以为他们提供请求延期的选项。在该截止日期之后,披露漏洞。

我可能会考虑向政府安全组织报告。我主要担心的是我是否需要匿名报告,因为您公开披露漏洞可能会违反某些法律。这取决于你的国家。

于 2009-03-29T08:53:40.277 回答
3

很大程度上取决于对上述漏洞负责的人。为了掩饰自己的屁股,他可能会在法庭上追捕你。此外,如果一个人可以访问管理面板,也可能访问一些私人信息和商业机密。有太多变数无法确定。正如其他人已经说过的,请咨询您的律师。在一些国家,也有专门研究计算机犯罪和相关问题的律师,那是最好的。

一年前,我负责几台 linux 服务器,这些服务器经常受到 SSH 暴力攻击。我曾经向任何 IP 的大多数管理员发送电子邮件,其名称为 mail.some_company.com,因为这主要意味着系统受到攻击。检查日志后,我发现了我当地一家公司的 IP。没想到我打电话给他们报告问题。他们的管理员的回应是“什么?!你是谁?你对我们的服务器做了什么?!”。

于 2009-03-29T12:47:05.647 回答
3

您可以考虑向 Secunia 等组织报告该漏洞,并要求他们管理披露。他们以前做过这种事……

http://secunia.com/advisories/report_vulnerability/

于 2009-03-29T14:13:47.807 回答
2

如果您所在的国家/地区有政府监管机构,例如联邦贸易委员会,请向他们报告,然后忘记它的存在。

如果你直接向公司汇报,你首先要找到汇报对象。然后你必须处理“你怎么知道这个”的问题(+1 on Talk to a Lawyer)。然后,如果您威胁要公开,您可能会发现当地警察拿着搜查令敲门,然后因敲诈勒索而被捕(与律师交谈 +2)。

于 2009-03-29T12:06:31.513 回答
1

我会先向公司报告安全漏洞。如果他们不照顾他们 - 我会向公众宣布。

于 2009-03-29T08:52:05.773 回答
1

如果我在你的位置,我肯定会向公司报告。如果问题像您提到的那样严重,请使用可用的最快通信方式进行报告。

如果您知道某些解决方案,也请让他们知道。

您可以写一篇关于问题和解决方案的概括性博客或文章。这将帮助其他人检查自己的系统。不要透露有关公司或网站的任何信息,否则您可能会遇到问题。

于 2009-03-29T08:52:44.257 回答