假设您最近在几个主要在您所在国家/地区激活且在其市场中非常强大的网站中发现了一些主要漏洞。我正在谈论的漏洞比让我以超级管理员权限浏览管理界面更糟糕。
你现在会做什么?我想的是:
你们觉得怎么样?您是否有一些材料可以阅读或分享经验?
答案 0 :(得分:18)
<强>谈话。至。 A.律师。
这可能会变得很粘,具体取决于公司。通过说“在我宣布利用之前你有xx天来解决这个问题”,你基本上是在说“做我期望的事情,否则我会让你感到悲伤”。
另一个问题是,你是怎么发现这个的?您是否正常使用该网站,或者您是否看到了该漏洞的可能性并决定查看它是否有效?记住这一点非常重要,特别是如果您正在考虑设置时间限制来解决问题。我不确定法律规定你居住的地方,所以请与有人谈谈。
你最终可能会得到他们的感谢,一些现金用于进入NDA(毕竟,你确实浏览了管理界面),你可能会得到安全行业的一些信任。但是,要非常非常小心,并尝试寻求律师的建议。
答案 1 :(得分:5)
我认为你走在正确的轨道上。
此类案例的一般趋势是向该公司提交错误报告,并根据问题的严重程度和修复所需的时间估算给他们一些时间。在此之后,如果公司没有另外询问您(溢价?),通常会有完整的披露。
但是,如果公司没有及时回复您/不承认您有权(我相信)发布您的结果以获得更大的利益。
无论您选择做什么,都要保持与公司沟通的正确记录。这可能有助于避免不可预见的情况。
答案 2 :(得分:4)
简单地说:
忽略它。
您的行为(但是您发现它)几乎总是非法的。因此,该公司可以把你带到法庭,让你的生活变得悲惨。类似的事情发生过。大多数时候,律师无法帮助你。
有些不在安全行业工作的人可能不同意我的意见( aka downvote )但是去过那里,做到了。
最后一种方法,如果你有一个朋友在那里或个人联系人只是与他/她进行非正式聊天(你以后可以拒绝的东西,并且不能作为证据然后他/她可以说出来检查这个并报告内部发现。
对于报告开源/商业应用程序中的内容,您可能会发现这有趣且有用:http://www.wiretrip.net/rfp/policy.html - 负责任的披露 - 但这完全是另一个故事,而不是在公司的实时网站/基础架构中发现漏洞。
如果它是商业产品,并且如果你对其进行逆向设计,那么它在许多国家仍然是非法的。因此即使在产品中你也要小心它。最近Google / MS等公司开始公布如何报告其产品中的安全问题。
答案 3 :(得分:3)
我个人会向公司报告,给他们一些合理的时间来纠正它。但如果他们认为需要更长时间,也可以选择申请截止日期。在截止日期之后,披露漏洞。
我可能会考虑向政府安全机构报告。我主要担心的是我是否需要匿名举报,因为您可能会通过公开披露漏洞来违反某些法律。这取决于你的国家。
答案 4 :(得分:3)
很大程度上取决于对所述漏洞负责的人。为了掩盖他自己的背后,他可能会在法庭上追你。此外,如果有人可以访问管理面板,也可以访问一些私人信息和商业机密。有太多变数无法确定。正如其他人已经说过的那样,请咨询您的律师。在一些国家,也有专门从事计算机犯罪和相关问题的律师,这些律师将是最好的。
一年前,我负责一些Linux服务器,这些服务器经常遭受SSH暴力攻击。我曾经向任何名为mail.some_company.com的IP的大多数管理员发送电子邮件,因为这通常意味着系统受损。检查完日志后,我发现了当地一家公司的IP。几乎没有想到我打电话给他们报告问题。他们的管理员的回答是“什么?!你是谁?你对我们的服务器做了什么?!”。
答案 5 :(得分:3)
您可以考虑向Secunia等组织报告漏洞,并要求他们管理披露。他们之前做过这样的事情......
答案 6 :(得分:2)
如果贵国有联邦贸易委员会等政府监管机构,请向他们报告,然后忘记它已存在。
如果您直接向公司报告,首先必须找到要报告的人。然后你必须处理“你怎么知道这个”的问题(+1与律师交谈)。然后,如果你威胁要上市,你可能会发现当地警察用逮捕令敲门,然后逮捕勒索(与律师交谈+2)。
答案 7 :(得分:1)
我首先向公司报告安全漏洞。如果他们不照顾他们 - 我会向公众宣布。
答案 8 :(得分:1)
如果我在你的位置,我肯定会把它报告给公司。如果问题与您提到的一样严重,请使用最快的通信方式进行报告。
如果您知道某些解决方案,请告诉他们。
您可以撰写广义博客或有关问题和解决方案的文章。这将有助于其他人检查自己的系统。不要透露有关公司或网站的任何信息,因为您可能会遇到问题。