Взлом и эксплуатация. Как вы справляетесь с любыми дырами в безопасности, которые вы обнаружите?

Сегодня онлайн-безопасность - очень важный фактор. Многие компании полностью базируются в Интернете, и есть множество конфиденциальных данных, доступных для проверки, только с помощью вашего веб-браузера.

Поиск знаний для защиты моих собственных приложений. Я обнаружил, что я часто тестирую другие приложения для эксплойтов и дыр в безопасности, возможно, только ради любопытства. По мере того, как мои знания в этой области расширялись путем тестирования в собственных приложениях, читая ночные атаки и читайте книгу Руководство для хакеров в веб-приложении: обнаружение и использование уязвимостей безопасности, я понял, что большинство онлайновых веб-приложений действительно подвержены множеству дыр в безопасности.

Итак, что вы делаете? Я не заинтересован в уничтожении или разрушении чего-либо, но мой самый большой "прорыв" при взломе я решил предупредить администраторов этой страницы. Мой запрос был незамедлительно проигнорирован, и дыра безопасности еще не исправлена. Почему бы им не исправить это? Как долго это будет до того, как кто-то с плохими намерениями сломает гостиницу и захочет уничтожить все?

Интересно, почему в наши дни больше не стоит сосредотачиваться на этом, и я думаю, что было бы много возможностей для бизнеса, предлагая, чтобы тестировать веб-приложения на наличие недостатков безопасности. Это только я, у кого слишком большое любопытство, или есть кто-то другой, кто испытывает то же самое? В Норвегии наказуемо на самом деле попытаться проникнуть на веб-страницу, даже если вы просто проверите исходный код и найдите там "скрытый пароль", используйте его для входа в систему, вы уже нарушаете закон.

Ответ 1

"Я обнаружил, что Im часто тестирует другие приложения для эксплойтов и дыр в безопасности, возможно, просто ради любопытства".

В Великобритании у нас есть "Закон о неправомерном использовании компьютера". Теперь, если эти приложения, которые вы преподно "смотрели", говорят, что интернет-сайт и заинтересованный интернет-провайдер могут быть обеспокоены расследованием (для чисто политических мотивов), тогда вы открываете себя, чтобы получить пальцы. Даже делая малейшее "тестирование", если только вы не являетесь Би-би-си, достаточно, чтобы вы были осуждены здесь.

Даже домам для тестирования проникновения требуется Sign Off от компаний, которые хотят провести официальную работу для обеспечения безопасности в своих системах.

Чтобы установить ожидания в отношении сложности сообщений об уязвимостях, у меня было это с фактическими работодателями, где были подняты некоторые довольно серьезные вещи, и люди месяцами сидели на нем от подобных повреждений бренда, даже полностью закрывая операции для поддержки ежегодную среду E-Com за 100 миллионов фунтов стерлингов.

Ответ 2

Однажды я сообщил о серьезной уязвимости проверки подлинности в онлайн-магазине аудиокниг, которая позволила вам переключить учетную запись после того, как вы вошли в систему. Я тоже опасался, если бы я сообщил об этом. Потому что в Германии хакерство запрещено также законом. Поэтому я анонимно сообщил об этой уязвимости.

Ответ заключался в том, что, хотя они не могли проверить эту уязвимость самостоятельно, поскольку программное обеспечение поддерживалось материнской компанией, они были рады моему отчету.

Позже я получил ответ, в котором они подтвердили опасность уязвимости и что она была исправлена. И они хотели еще раз поблагодарить меня за этот отчет о безопасности и предложили мне подарок на iPod и аудиокнигу в подарок.

Итак, я убежден, что отчет об уязвимости является правильным способом.

Ответ 3

Я обычно связываюсь с администратором сайта, хотя ответ почти ВСЕГДА "omg вы нарушили мою проверку страницы JavaScript, я буду судиться с вами".

Люди просто не любят слышать, что их материал сломан.

Ответ 4

Информирование администратора - лучшее, что нужно сделать, но некоторые компании просто не будут принимать нежелательные советы. Они не доверяют или не верят источнику.

Некоторые люди посоветуют вам использовать уязвимость безопасности, чтобы привлечь внимание к этой опасности, но я бы рекомендовал против этого, и это возможно, что из-за этого у вас могут быть серьезные последствия.

В принципе, если вы сообщили им, что это уже не ваша проблема (а не то, что она когда-либо была в первую очередь).

Еще один способ обеспечить ваше внимание - предоставить конкретные шаги по его использованию. Таким образом, будет легче, если кто-нибудь получит электронное письмо, чтобы проверить его, и передать его нужным людям.

Но в конце строки вы ничего им не должны, поэтому все, что вы решите сделать, это высунуть вам шею.

Кроме того, вы даже можете создать новый адрес электронной почты для себя, чтобы использовать для оповещения веб-сайтов, потому что, как вы упомянули, в некоторых местах было бы незаконно даже проверять эксплойт, и некоторые компании предпочли бы пойти после вас, а не недостаток безопасности.

Ответ 5

Если это не влияет на многих пользователей, я думаю, что уведомлять администраторов сайта - это самое большее, что вы можете ожидать. Если у эксплойта есть широко распространенные разветвления (например, эксплойт безопасности Windows), вы должны уведомить кого-то, кто может исправить проблему, а затем дать им время исправить его, прежде чем публиковать этот эксплойт (если вы публикуете его намерение).

Многие люди кричат об использовании публикации, но иногда это единственный способ получить ответ. Имейте в виду, что если вы обнаружили эксплойт, существует высокая вероятность того, что кто-то с менее альтруистическими намерениями нашел его и начал использовать его уже.

Изменить: Обратитесь к адвокату, прежде чем публиковать что-либо, что может нанести ущерб репутации компании.

Ответ 6

Я испытал то же, что и ты. Однажды я нашел эксплойт в магазине торговли, где вы могли скачивать книги без оплаты. Я написал две письма: 1) Разработчики oscommerce, они ответили "Известная проблема, просто не используйте этот модуль PayPal, мы не исправим" 2) Администратор магазина: нет ответа вообще

На самом деле я понятия не имею, как лучше всего себя вести... может даже публиковать эксплойт, чтобы заставить админов реагировать.

Ответ 7

Обратитесь к администратору, а не к лицу бизнес-типа. Обычно администратор будет благодарен за уведомление и возможность исправить проблему до того, как что-то случится, и он обвиняется в этом. Более высокий уровень, или каналы, с которыми будет проходить обслуживание клиентов, являются каналами, в которых участвуют юристы.

Я был частью группы людей, которые сообщили о проблеме, которую мы наткнулись на систему NAS в университете. Администраторы были очень благодарны, что мы нашли дыру и сообщили об этом, и спорили с их начальниками от нашего имени (ответственные люди хотели распять нас).

Ответ 8

Мы проинформировали главного разработчика о уязвимости внедрения sql на странице входа в систему. Серьезно, это классический сорт '<your-sql-here>--. Вы не можете обойти логин, но вы можете легко выполнить произвольный sql. Все еще не исправлено через 2 месяца! Не уверен, что делать сейчас... никто в моем офисе не заботится, что меня поражает, так как мы так много платим за каждое обновление и новую функцию. Это также пугает меня, когда я думаю о качестве кода и количестве акций, которые мы вкладываем в это программное обеспечение.