Назад | Перейти на главную страницу

Ошибка безопасности - сообщить об этом?

Я не уверен, что это может быть вики сообщества.

Представьте себе сценарий, в котором вы обнаруживаете брешь в безопасности на веб-сайте компании во время просмотра веб-страниц. Что-то, связанное с изменением параметров URL-адреса, которое предоставляет вам информацию, к которой вы в противном случае не должны были бы иметь доступа, например. Вы виновны в "взломе", изменяя эти поля? Если да, следует ли вам сообщать о недостатке безопасности в компанию, или есть законные опасения юридических последствий, если вы признаете свою «вину»?

Уточнение по запросу: это все внешние, полностью доступные страницы .NET, которые принимают переменные, которые могут иметь непредвиденные результаты при изменении.

Второе редактирование: чтобы было ясно, что это не компания, в которой я работаю, а еще один веб-сайт в Интернете, с которым я не имею отношения.

Внимание: ниже приведены некоторые стереотипы, которые могут быть или неточными.

Есть ли у указанной компании большая команда юристов или она существует, скажем, более 15 лет? Если да, то не беспокойтесь. Ваше благонамеренное раскрытие воля скорее всего, будут сочтены взломом, и они без колебаний выпустят на вас свою команду юристов.

С другой стороны, если компания новичок, если она хорошо понимает такие вещи, как социальные сети, и в целом поддерживает и открыта для своих клиентов, тогда да, дерзайте.

Вот несколько руководств здравого смысла при раскрытии уязвимостей, чтобы избежать неприятностей:

  1. Используйте частный канал. Ни одна компания не любит, когда на новостной сайт указывают на свои недостатки в системе безопасности. Вам лучше иметь большой опыт, прежде чем публиковать сообщения о полном раскрытии информации.
  2. Никогда, никогда и никогда не угрожайте и не требуйте при раскрытии уязвимости. Помимо грубости, вы, вероятно, столкнетесь с легальной расстрелом. К угрозам относятся: «Если вы не исправите это, я разошлю это по всей сети», а к вымогательству относятся: «Я хочу, чтобы деньги помогли вам исправить это». Просто не делай этого.
  3. Сделайте сообщение официальным и отслеживаемым. Оптимально, если общение исходит от компании, которую вы контролируете, или аналогичной. Это также предлагает уровень защиты, если они решат, что вы злой Haxxor.
  4. Общайтесь с нужными людьми. Вы не хотите говорить ни с первой линией поддержки, ни с генеральным директором. Приложив немного усилий, часто можно найти правильный отдел. В худшем случае ищите CISO или CERT в крупной компании. Никто не любит, когда в офис врывается глава компании и требует объяснить, почему эта опасная штука SEE-KU-L не починена.

Для более формального набора рекомендаций вы можете взглянуть на Форум CCSS и OIS Рекомендации по составлению отчетов об уязвимостях и реагированию на них. Я считаю, что вас в первую очередь интересуют этапы «обнаружения» и «уведомления».

Ни одна здравомыслящая компания не вызовет у вас проблем, если вы сообщите об уязвимости в частном порядке. Позволить законным гончим ада проиграть стоит больших денег. Однако, если они интерпретируют это как попытку вымогательства или вы изо всех сил стараетесь их опозорить, они могут решить привлечь к вам команду юристов.