Hacking e explorando - Como você lida com quaisquer falhas de segurança que você encontra?

Question

Hoje a segurança on-line é um fator muito importante. Muitas empresas estão totalmente baseado on-line, e há toneladas de dados sensíveis disponíveis para verificar apenas usando seu navegador.

A busca do conhecimento para garantir minhas próprias aplicações que eu encontrei que eu sou frequentemente testar aplicações outros para exploits e falhas de segurança, talvez só por curiosidade. Como o meu conhecimento sobre este campo tem se expandido por meio de testes em próprias aplicações, lendo dia façanhas de zero e através da leitura do livro Manual do hacker Aplicação web: descobrindo e explorando segurança falhas , eu vim a perceber que a maioria das aplicações web on-line são realmente expostos a uma série de falhas de segurança.

Então, o que você faz? Estou em nenhum interesse de destruir ou arruinar qualquer coisa, mas a minha maior "romper" na pirataria decidi alertar os administradores da página. Minha pergunta foi prontamente ignorado, e a falha de segurança ainda não foi corrigido. Por que eles não quero corrigi-lo? Quanto tempo levará até que alguém com más intenções quebrar pousada e optar por destruir tudo?

Eu me pergunto por que não há mais foco nesse estes dias, e eu acho que haveria uma abundância de oportunidades de negócios na verdade, oferecendo-se para aplicações web de teste para falhas de segurança. É só eu que têm um muito grande curiosidade ou há alguém lá fora que experimentam o mesmo? É punível por lei na Noruega, para realmente tentar entrar em uma página da web, mesmo que você acabou de verificar o código-fonte e encontrar o "senha escondida" lá, usá-lo para login, você já está quebrando a lei.

Answer 1

"Ive descobriu que Im muitas vezes testar aplicações outros para exploits e falhas de segurança, talvez só por curiosidade".

No Reino Unido, temos o "Misuse Act computador". Agora, se esses aplicativos que você está proverbialmente "olhando" são o Internet digamos base e do ISP em causa pode ser incomodado para investigar (por motivações puramente políticas), então você está abrindo-se ficando dedos. Mesmo fazendo a menor "teste" unlesss você é a BBC é suficiente para levá-lo condenado aqui.

Mesmo casas Penetration Test exigem assina fora de empresas que desejem realizar trabalho formal para fornecer garantia de segurança em seus sistemas.

Para definir expectativas sobre a dificuldade em relatar vulnerabilties, tive isso com os empregadores reais onde algumas coisas muito séria foi levantada e as pessoas se sentaram sobre ele por meses dos gostos de danos à marca até mesmo desligar completamente as operações de apoio um £ 100m E-Com ambiente anual.

Answer 2

Uma vez eu relatou uma vulnerabilidade de autenticação séria em uma loja audiobook on-line que lhe permitiu mudar a conta, uma vez que foram logado. Eu estava desconfiado demais se eu deveria relatar isso. Porque na Alemanha pirataria é proibido por lei também. Então eu informou a vulnerabilidade anonimamente.

A resposta foi que, embora eles não poderiam verificar esta vulnerabilidade se como o software foi mantida pela controladora alegraram-se para o meu relatório.

Mais tarde eu recebi uma resposta em que confirmou a periculosidade da vulnerabilidade e que foi corrigido agora. E eles queriam me agradecer novamente por este relatório de segurança e ofereceu-me um iPod e audiobook créditos como um presente.

Então, eu estou convencido de que relatar uma vulnerabilidade é o caminho certo.

Answer 3

Eu costumo entrar em contato com o administrador do site, embora a resposta é quase sempre "omg você quebrou meu validação página javascript eu vou processá-lo."

As pessoas simplesmente não gostam de ouvir que seu material está quebrado.

Answer 4

Informar o administrador é a melhor coisa a fazer, mas algumas empresas só não vai tomar conselhos não solicitados. Eles não confiam ou não acreditam que a fonte.

Algumas pessoas aconselho-o a explorar a falha de segurança de uma forma prejudicial para chamar a atenção para o perigo, mas eu recomendo contra isso, e é possível que você poderia ter consequências graves por causa disso.

Basicamente, se você informou não é mais seu problema (não que sempre foi, em primeiro lugar).

Outra forma de garantir que você obtenha a sua atenção é fornecer etapas específicas de como ele pode ser explorado. Dessa forma, será mais fácil para quem recebe o e-mail para verificar-lo e passá-lo para as pessoas certas.

Mas, ao fim da linha, que lhes devemos nada, então qualquer coisa que você escolhe fazer é furar seu pescoço para fora.

Além disso, você pode até mesmo criar um novo endereço de e-mail para si mesmo para usar para alertar os sites, porque, como você mencionou, alguns lugares seria ilegal até mesmo para verificar a explorar, e algumas empresas iria escolher para ir atrás de você em vez de a falha de segurança.

Answer 5

Se não afetar muitos usuários, então eu acho que notificar os administradores do site é o máximo que se pode esperar para fazer. Se o exploit tem ramificações generalizadas (como um segurança do Windows exploit), então você deve notificar alguém em posição de resolver o problema, em seguida, dar-lhes tempo para corrigi-lo antes de publicar o exploit (se a publicação é sua intenção).

Um monte de gente chorar explorar a publicação, mas às vezes isso é a única maneira de obter uma resposta. Tenha em mente que se você encontrou um exploit, há uma grande probabilidade de que alguém com intenções menos altruístas encontrou-o e começou a explorá-lo já.

Editar:. Consulte um advogado antes de publicar qualquer coisa que possa prejudicar a reputação da empresa

Answer 6

Eu experimentei o mesmo como você. Uma vez eu encontrei um exploit em uma loja oscommerce onde você pode baixar ebooks sem pagar. Eu escrevi dois mails: 1) Os desenvolvedores de oscommerce, eles responderam "Problema conhecido, simplesmente não usar este módulo paypal, nós não fix" 2) administrador Shop: nenhuma resposta

Na verdade não tenho idéia de qual é a melhor maneira de se comportar ... talvez até mesmo publicar o exploit para forçar os administradores a reagir.

Answer 7

Contacte o administrador, não uma pessoa do tipo de negócio. Geralmente, o administrador será grato para o aviso prévio, e a chance de corrigir o problema antes que algo aconteça e ele é culpado por isso. A maior-up, ou os canais de serviço ao cliente pessoa está indo para percorrer, são os canais onde os advogados se envolver.

Eu fazia parte de um grupo de pessoas que relataram um problema, metida no sistema NAS na Universidade. Os administradores foram muito grato encontramos o buraco e relatou-lo, e discutiu com seus chefes em nosso nome (os responsáveis ??queriam nos crucificar).

Answer 8

Nós informou o principal desenvolvedor sobre uma vulnerabilidade de injeção SQL em sua página de login. Sério, é a variedade '<your-sql-here>-- clássico. Você não pode ignorar o login, mas você pode facilmente executar SQL arbitrárias. Ainda não foi fixado em 2 meses! Não tenho certeza o que fazer agora ... ninguém no meu escritório realmente se importa, o que me surpreende, uma vez que pagar tanto por cada pequena atualização e nova funcionalidade. Ele também me assusta quando eu penso sobre a qualidade do código e quantas ações estamos colocando neste software.