Hacking

安全漏洞 - 報告?

  • June 7, 2011

這可能是一個社區維基,我不確定。

想像一個場景,您在瀏覽網頁時發現公司網站存在安全漏洞。例如,涉及更改 URL 參數的事情,會向您發布您原本不應該訪問的資訊。通過更改這些欄位,您是否犯了“黑客行為”?如果是這樣,您是否應該向公司報告安全漏洞,或者如果您承認“有罪”,是否有正當的法律後果擔心?

根據要求進行澄清:這是所有面向外部、完全可訪問的 .NET 頁面,它們接受在修改時可能會產生意外結果的變數。

第二次編輯:要明確這不是我工作的公司,而是網際網路上另一個與我沒有關係的網站。

在披露漏洞以避免麻煩時,以下是一些常識性準則:

  1. 使用私人頻道。沒有公司喜歡在新聞網站上指出他們的安全漏洞。在完全披露上發布之前,您最好有很多經驗。
  2. 永遠不要在披露漏洞時威脅或要求。除了粗魯之外,您可能會發現自己面臨合法的解僱小隊。威脅包括“如果您不解決此問題,我將在整個網路上發布”,勒索包括“我想要錢來幫助您解決此問題”。只是不要這樣做。
  3. 使溝通正式化、可追溯。最佳情況是通信來自您控制的公司或類似公司。如果他們認為你是邪惡的 Haxxor,這也提供了一層保護。
  4. 與合適的人溝通。您不想與一線支持人員交談,也不想與 CEO 交談。通過一些努力,您通常可以找到正確的部門。在最壞的情況下,尋找大公司的 CISO 或 CERT。沒有人喜歡公司的負責人衝進辦公室,要求知道為什麼這個危險的 SEE-KU-L 事情沒有解決。

有關更正式的指南集,您可以查看CCSS 論壇和 OIS安全漏洞報告和響應指南。您主要對我相信的“發現”和“通知”步驟感興趣。

沒有理智的公司會因為你私下報告漏洞而對你提出問題。讓地獄的合法獵犬失去很多錢。但是,如果他們將其解釋為勒索企圖,或者您竭盡全力羞辱他們,他們可能會決定聘請法律團隊與您打交道。

引用自:https://serverfault.com/questions/277843