За эти годы я приобрел большой опыт в программировании (мое основное занятие) и администрировании серверов, и в результате получил довольно приличную поддержку в практике безопасности. Я также довольно хорошо обнаруживаю недостатки безопасности в программном обеспечении (включая, помимо прочего, SQLi), и составил список сайтов, на которых определенно можно было бы посмотреть.
Мой вопрос заключается в следующем: каковы законности того, что я обращаюсь к этим сайтам и говорю что-то вроде «Я просмотрел ваш сайт, и он кажется уязвимым - данные клиентов могут быть скомпрометированы - вы хотите, чтобы я это исправил?». Могу ли я, обнаружив, что сайт действительно уязвим, быть расценено как атака? Если потенциальный клиент пожелает, могут ли они подать на меня в суд?
Когда я нахожу уязвимый сайт, все, что я делаю, это подтверждаю и записываю уязвимость. Я занимаюсь этим не для личной выгоды (было бы неплохо получить деньги за ИСПРАВЛЕНИЕ!), Просто из любопытства. Является ли это приемлемым способом поиска клиентов для такого рода работы или вы порекомендуете более «законный» способ?
Приветствуются любые предложения / советы :)
Я бы никогда не нанял вас, работая на предприятие среднего размера, люди все время связываются со мной, чтобы предложить услуги и продать комплект. Сканирование безопасности, управление лицензиями на программное обеспечение, оборудование, управляемые сетевые службы и т. Д. Но я никогда не пользуюсь услугами компании, которая неожиданно звонит мне и пытается вмешаться. Это просто практика, против которой я бы не советовал.
Однако я серьезно отнесусь к вашему электронному письму и свяжусь с выбранным мной специалистом по безопасности, чтобы посмотреть, смогут ли они найти проблему.
Даже если бы вы сказали, что это «для личной выгоды», я подозреваю, что вы либо попытаетесь получить контрактные дни, либо что-то еще будет неправильным. Я ни в коем случае не сомневаюсь в ваших навыках, просто практика оказывается очень сомнительной.
Я даже подозреваю, что некоторые компании отправят ваше письмо в юридический отдел и либо попытаются подать на вас в суд, либо, возможно, даже наложат запрет на обнаруженную вами уязвимость, чтобы помешать вам делиться информацией с кем-либо еще.
Итог, не делайте этого.
Занимаясь этим профессионально более 15 лет, я бы сказал - будьте очень осторожны! Даже если у вас есть договор до того, как вы посмотрите приложение, некоторые компании по-прежнему ведут довольно тяжкие отношения. Правовой язык, который мне нужен, прежде чем я прикоснусь к приложению, раздражает, но необходимо.
Если вы идентифицируете уязвимость с помощью полностью пассивных действий, то есть до попытки «подтверждения», то с юридической точки зрения вы можете находиться в относительно безопасном месте (однако я не юрист).
У более зрелых организаций есть контактные лица для отчетности, где вы можете уведомить о проблемах, а некоторые даже предлагают вознаграждение (например, Google, Facebook и т. Д.), Но большинство далеки от этого уровня.
Если вы предприняли какие-либо активные шаги для подтверждения уязвимости, то с точки зрения цели вы выглядите как настоящий злоумышленник, и они, вероятно, будут в рамках своих прав использовать правоохранительные органы и суды, чтобы помешать вам делать что-либо еще.
С точки зрения получения новой работы это также поставит вас в плохое положение с организациями уровня предприятия. Вы, скорее всего, попадете в их черный список, если не пройдете обычные процедуры заключения контрактов и закупок.