黑客和剥削-你如何处理你发现的任何安全漏洞?

“我发现我经常测试其他应用程序的漏洞和安全漏洞,也许只是出于好奇”。

在英国,我们有“计算机滥用法”。现在,如果你所看到的这些应用程序都是基于互联网的,而互联网服务提供商所关心的问题可能会困扰你去调查(纯粹是出于政治动机),那么你就打开了自己的大门。即使做最轻微的“测试”,除非你是英国广播公司,足够让你在这里被定罪。

即使是渗透测试公司也需要那些希望进行正式工作的公司的签字,以保证其系统的安全。

为了对报告脆弱性的困难做出预期,我和实际的雇主谈过这个问题,他们提出了一些相当严重的问题,人们已经坐了几个月了,从品牌受损到甚至完全关闭运营来支持每年1亿英镑的电子商务环境。

我曾经报告过在线有声读物商店存在严重的身份验证漏洞,允许您在登录后切换帐户。如果我要报告这件事,我也很谨慎。因为在德国,法律也禁止黑客。所以我匿名报告了这个漏洞。

答案是,虽然他们不能自己检查这个漏洞,因为软件是由母公司维护的,但他们很高兴我的报告。

后来我得到了一个答复,他们证实了这个脆弱性的危险性,现在已经修复了。他们想再次感谢我的安全报告,并给我一个iPod和有声读物作为礼物。

所以我相信报告漏洞是正确的方法。

我通常会联系网站管理员,尽管回答几乎总是“omg你破坏了我的javascript页面验证,我会起诉你。”

人们只是不喜欢听到他们的东西坏了。

通知管理员是最好的做法,但有些公司只是不接受未经请求的建议。他们不信任或不相信消息来源。

有些人会建议您以一种破坏性的方式利用安全漏洞,以引起他们对危险的注意,但我建议您不要这样做,因为这样可能会造成严重后果。

基本上,如果你已经通知他们,这不再是你的问题了(从一开始就不是问题)。

另一种确保你引起他们注意的方法是提供关于如何利用它的具体步骤。这样一来,无论谁收到电子邮件,都可以更容易地验证它,并将其传递给合适的人。

但在最后,你什么也不欠他们,所以你选择做的任何事都是伸出你的脖子。

此外,您甚至可以为自己创建一个新的电子邮件地址,用于提醒网站,因为正如您所提到的,有些地方甚至验证漏洞都是非法的,有些公司会选择跟踪您而不是安全漏洞。

如果它不影响许多用户,那么我认为通知站点管理员是最有可能做到的。如果该漏洞具有广泛的后果(如Windows安全漏洞),那么您应该通知有能力解决该问题的人,然后 给他们时间修理它 在发布漏洞之前(如果发布是您的意图)。

很多人都为利用出版物而大哭,但有时这是得到回应的唯一途径。请记住,如果你发现了一个漏洞,那么很有可能是一些不那么利他的人发现了它,并且已经开始利用它了。

编辑: 在发表任何可能损害公司声誉的文章之前,咨询律师。

我也和你一样经历过。我曾经在一家电子商务商店里发现了一个漏洞,在那里你可以免费下载电子书。我写了两封信: 1)OS商业的开发者,他们回答“已知的问题,只是不使用这个Paypal模块,我们不会修复” 2)店长:完全没有答案

实际上,我不知道什么是最好的行为方式…甚至可以公开利用这个漏洞迫使管理员做出反应。

联系管理员,而不是业务类型的人员。一般来说,管理员会对通知表示感谢,并且有机会在发生问题之前解决问题,并因此受到指责。更高的层次,或者说客户服务人员要通过的渠道,是律师参与的渠道。

我是一群人中的一员,他们报告了我们在大学里偶然发现的一个问题。行政人员非常感激我们发现了这个漏洞并报告了它,并代表我们与他们的老板争论(负责人想把我们钉死)。

我们在主开发人员的登录页面上通知了他们一个SQL注入漏洞。说真的,这是经典 '<your-sql-here>-- 品种。您不能绕过登录,但可以轻松地执行任意SQL。两个月没修好!不知道现在该怎么办……我办公室里没有其他人真的在乎,这让我吃惊,因为我们为每一个小的升级和新功能支付了这么多钱。当我想到代码质量和我们在这个软件中投入了多少库存时,我也很害怕。