Взлом и эксплуатация - Как вы справляетесь с любыми обнаруженными вами дырами в безопасности?
https://stackoverflow.com/questions/667147
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Сегодня онлайн-безопасность является очень важным фактором.Многие компании полностью базируются в Интернете, и существует масса конфиденциальных данных, которые можно просмотреть только с помощью вашего веб-браузера.
В поисках знаний о защите своих собственных приложений я обнаружил, что часто тестирую другие приложения на наличие эксплойтов и дыр в безопасности, возможно, просто из любопытства.Поскольку мои знания в этой области расширились благодаря тестированию на собственных приложениях, чтению эксплойтов нулевого дня и прочтению книги Руководство хакера веб-приложений:Обнаружение и использование недостатков в системе безопасности, Я пришел к пониманию того, что большинство онлайновых веб-приложений действительно подвержены множеству дыр в безопасности.
Так что же вы делаете?Я не заинтересован в том, чтобы что-то разрушать, но своим самым большим "прорывом" во взломе я решил предупредить администраторов страницы.Мой запрос был немедленно проигнорирован, и дыра в системе безопасности до сих пор не устранена.Почему они не хотят это исправить?Сколько времени пройдет, прежде чем кто-то с дурными намерениями вломится в гостиницу и решит все разрушить?
Я удивляюсь, почему в наши дни этому не уделяется больше внимания, и я думаю, что было бы много возможностей для бизнеса, если бы мы действительно предлагали тестировать веб-приложения на наличие недостатков в безопасности.Это только у меня слишком большое любопытство, или есть кто-то еще, кто испытывает то же самое?В Норвегии по закону карается попытка взлома веб-страницы, даже если вы просто проверяете исходный код и находите там "скрытый пароль", используете его для входа в систему, вы уже нарушаете закон.
Решение
"Я обнаружил, что часто тестирую другие приложения на наличие эксплойтов и дыр в безопасности, возможно, просто из любопытства".
В Великобритании действует "Закон о неправомерном использовании компьютеров".Теперь, если эти приложения, на которые вы, как говорится, "смотрите", скажем, основаны на Интернете, и заинтересованный провайдер может побеспокоиться о расследовании (по чисто политическим мотивам), тогда вы рискуете попасть впросак.Даже малейшего "тестирования", если только вы не Би-би-си, достаточно, чтобы вас осудили здесь.
Даже центры тестирования на проникновение требуют согласия компаний, которые хотят провести официальную работу по обеспечению безопасности своих систем.
Чтобы обосновать ожидания относительно сложности сообщения об уязвимостях, у меня было такое с реальными работодателями, где поднимались довольно серьезные вопросы, и люди месяцами размышляли над этим, начиная с ущерба бренду и заканчивая даже полным прекращением операций для поддержки интернет-среды стоимостью 100 млн фунтов стерлингов в год.
Другие советы
Однажды я сообщил о серьезной уязвимости аутентификации в онлайн-магазине аудиокниг, которая позволяла вам сменить учетную запись после входа в систему.Я тоже был осторожен, стоит ли мне сообщать об этом.Потому что в Германии хакерство тоже запрещено законом.Поэтому я сообщил об уязвимости анонимно.
Ответ заключался в том, что, хотя они не могли проверить эту уязвимость самостоятельно, поскольку программное обеспечение обслуживалось материнской компанией, они были рады моему отчету.
Позже я получил ответ, в котором говорилось, что они подтвердили опасность уязвимости и что теперь она исправлена.И они хотели еще раз поблагодарить меня за этот отчет по безопасности и предложили мне iPod и кредиты на аудиокниги в качестве подарка.
Поэтому я убежден, что сообщать об уязвимости - это правильный способ.
Обычно я обращаюсь к администратору сайта, хотя ответ почти ВСЕГДА звучит так: "Боже, вы нарушили проверку моей страницы javascript, я подам на вас в суд".
Людям просто не нравится слышать, что их вещи сломаны.
Лучше всего проинформировать администратора, но некоторые компании просто не прислушиваются к непрошеным советам.Они не доверяют источнику или не верят ему.
Некоторые люди посоветовали бы вам использовать уязвимость в системе безопасности пагубным образом, чтобы привлечь их внимание к опасности, но я бы не рекомендовал этого делать, и вполне возможно, что из-за этого у вас могут быть серьезные последствия.
В принципе, если вы проинформировали их, это больше не ваша проблема (хотя, во-первых, так никогда и не было).
Еще один способ привлечь их внимание - предоставить конкретные шаги относительно того, как этим можно воспользоваться.Таким образом, тому, кто получит электронное письмо, будет легче подтвердить его и передать нужным людям.
Но, в конце концов, ты им ничего не должен, так что все, что ты решишь сделать, - это подставить свою шею.
Кроме того, вы могли бы даже создать для себя новый адрес электронной почты, чтобы использовать его для оповещения веб-сайтов, потому что, как вы упомянули, в некоторых местах было бы незаконно даже проверять эксплойт, и некоторые компании предпочли бы искать вас, а не уязвимость в системе безопасности.
Если это не повлияет на многих пользователей, то я думаю, что уведомление администраторов сайта - это максимум, что от вас можно ожидать.Если эксплойт имеет широко распространенные последствия (например, эксплойт для системы безопасности Windows), вам следует уведомить кого-либо, кто в состоянии устранить проблему, затем дайте им время это исправить прежде чем вы опубликуете эксплойт (если вы намерены опубликовать его).
Многие люди жалуются на публикацию эксплойта, но иногда это единственный способ получить ответ.Имейте в виду, что если вы нашли эксплойт, существует высокая вероятность того, что кто-то с менее альтруистическими намерениями уже нашел его и начал использовать.
Редактировать: Проконсультируйтесь с юристом, прежде чем публиковать что-либо, что может нанести ущерб репутации компании.
Я испытал то же самое, что и ты.Однажды я нашел эксплойт в магазине oscommerce, где можно было скачивать электронные книги бесплатно.Я написал два письма:1) Разработчики oscommerce, они ответили "Известная проблема, просто не используйте этот модуль PayPal, мы не будем исправлять" 2) Администратор магазина:вообще никакого ответа
На самом деле я понятия не имею , как лучше всего себя вести ...может быть, даже опубликовать эксплойт, чтобы заставить администраторов отреагировать.
Обращайтесь к администратору, а не к деловому человеку.Как правило, администратор будет благодарен за уведомление и шанс исправить проблему до того, как что-то случится и его обвинят в этом.Вышестоящее руководство или каналы, по которым собирается обращаться сотрудник службы поддержки клиентов, - это каналы, по которым подключаются юристы.
Я был частью группы людей, которые сообщили о проблеме, с которой мы столкнулись в системе NAS в университете.Администраторы были очень благодарны, что мы нашли дыру и сообщили о ней, а также поспорили с их начальством от нашего имени (ответственные люди хотели нас распять).
Мы проинформировали главного разработчика об уязвимости sql-инъекции на их странице входа в систему.Серьезно, это классика '<your-sql-here>-- разнообразие.Вы не можете обойти логин, но вы можете легко выполнить произвольный sql.До сих пор ничего не починили за 2 месяца!Не уверен, что делать now...no еще один сотрудник в моем офисе действительно заботится о нас, что меня поражает, поскольку мы так дорого платим за каждое небольшое обновление и новую функцию.Это также пугает меня, когда я думаю о качестве кода и о том, сколько ресурсов мы вкладываем в это программное обеспечение.
