黑客/破解道义论[关闭]

StackOverflow https://stackoverflow.com/questions/694330

  •  22-08-2019
  •  | 
  •  

假设您最近在几个网站中发现了一些重大漏洞,这些网站主要在您所在的国家/地区活跃,并且在其市场上非常强大。我所说的漏洞就像让我以超级管理员权限浏览管理界面一样糟糕。

你现在会做什么?我在想这样的事情:

  1. 向公司报告问题。
  2. 公开宣布这些应用程序存在安全漏洞,但不披露实际的利用情况。
  3. 给公司时间来解决问题。(多少?)
  4. 问题修复后或修复宽限期过后(以先到者为准),充分披露漏洞。

你们有什么感想?您有一些关于这方面的材料可以阅读或可以分享经验吗?

有帮助吗?

解决方案

讲话。到。A。律师。

根据公司的不同,这可能会变得棘手。通过说“在我宣布该漏洞之前,您有 xx 天的时间来解决此问题”,您基本上是在说“按照我的期望行事,否则我会给您带来很多悲伤”。

另一个问题是,你是如何发现这一点的?您是否“正常”使用该网站,或者您是否看到了该漏洞的潜力并决定看看它是否有效?记住这一点非常重要,特别是如果您正在考虑设置时间限制来解决问题。我不确定你住的地方的法律是怎么规定的,所以请与有法律规定的人谈谈。

你最终可能会得到他们的感谢,一些签署保密协议的现金(毕竟你浏览了管理界面),并且你可能会在安全行业获得一些荣誉。但是,要非常非常小心,并尝试寻求律师的建议。

其他提示

我认为你走在正确的道路上。

在这种情况下,一般趋势是向上述公司提交错误报告,并根据问题的严重性和修复所需的时间估计给他们一些时间。之后,如果公司没有另行要求(为了溢价?),通常会进行全面披露。

但是,如果公司没有及时回复您/不承认您有权(我相信)为了更大的利益而发布您的结果。

无论您选择做什么,请妥善保存您与公司的沟通记录。这可能有助于避免意外情况。

简单的说:

忽略它。

你的行动(但你已经找到了)几乎总是非法的。因此,该公司可以将您告上法庭,让您的生活变得悲惨。类似的事情以前也发生过。大多数时候律师无法帮助你。

有些不是从事安全行业的人可能不同意我的观点(又称否决票)但去过那里,做到了。

最后一种正确的方法是,如果您在那里有朋友或个人联系人,只需与他/她进行非正式聊天(你可以稍后否认,但不能作为证据)然后他/她可以谈论检查这一点并像内部发现一样进行报告。

对于报告开源/商业应用程序中的内容,您可能会发现这很有趣且很有帮助: http://www.wiretrip.net/rfp/policy.html -负责任的披露-但这完全是另一个故事,而不是在公司的实时网站/基础设施中发现漏洞。

如果它是商业产品,并且您对其进行了逆向工程,那么它在许多国家/地区仍然是非法的。所以即使在产品中你也必须小心。最近,像 Google / MS 这样的公司开始公开宣布如何报告其产品中的安全问题。

我个人会将其报告给公司,给他们一些合理的时间来纠正它。但如果他们认为需要更长的时间,也可以为他们提供请求延长截止日期的选择。在该截止日期之后,披露该漏洞。

我可能会考虑向政府安全组织报告。我主要担心的是我是否需要匿名报告,因为公开披露漏洞可能会违反一些法律。这取决于您所在的国家/地区。

很大程度上取决于对上述漏洞负责的人。为了掩饰自己的后顾之忧,他可能会在法庭上追捕你。此外,如果能够访问管理面板,也可能会访问一些私人信息和商业秘密。有太多变数无法确定。正如其他人已经说过的,请咨询您的律师。在一些国家,还有专门从事计算机犯罪和相关问题的律师,那是最好的。

一年前,我负责几台 Linux 服务器,这些服务器经常受到 SSH 暴力攻击。我曾经向任何名称为 mail.some_company.com 的 IP 的大多数管理员发送电子邮件,因为这主要意味着系统受到损害。检查日志后,我发现了来自我所在国家/地区的一家公司的 IP。我几乎没有多想就打电话给他们报告了这个问题。他们的管理员的回应是“什么?!你是谁?你对我们的服务器做了什么?!”。

您可以考虑向 Secunia 等组织报告该漏洞,并要求他们管理披露信息。他们以前也干过这样的事……

http://secunia.com/advisories/report_vulnerability/

如果您的国家有联邦贸易委员会等政府监管机构,请向他们报告,然后忘记它的存在。

如果你直接向公司汇报,你首先必须找到汇报对象。然后你必须处理“你怎么知道这一点”的问题(与律师交谈+1)。然后,如果你威胁要公开,你可能会发现当地警察拿着逮捕令敲你的门,然后因敲诈勒索而被捕(与律师交谈+2)。

如果我是你,我肯定会向公司报告。如果问题像您提到的那样严重,请使用可用的最快通信方式进行报告。

如果您知道某些解决方案,请也让他们知道。

您可以写一篇关于问题和解决方案的通用博客或文章。这将帮助其他人检查自己的系统。不要透露有关公司或网站的任何信息,因为那样您可能会遇到问题。

我会首先向公司报告安全漏洞。如果他们不照顾他们——我就会向公众宣布。

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top