26

今日、オンライン セキュリティは非常に重要な要素です。多くのビジネスは完全にオンラインに基づいており、Web ブラウザーを使用しないとチェックアウトできない機密データが大量に存在します。

自分のアプリケーションを保護するための知識を求めている私は、単に好奇心から、他のアプリケーションのエクスプロイトやセキュリティ ホールをテストすることがよくあることに気づきました。この分野に関する私の知識は、独自のアプリケーションでテストしたり、ゼロデイ エクスプロイトを読んだり、The Web Application Hacker's Handbook: Discovering and Exploiting Security Flawsという本を読んだりすることで広がり、オンライン Web アプリケーションの大部分が実際には脆弱であることに気づきました。多くのセキュリティホールにさらされています。

それで、あなたは何をしますか?私は何かを破壊したり台無しにしたりすることに興味はありませんが、ハッキングに関する私の最大の「ブレークスルー」は、ページの管理者に警告することにしました。私の問い合わせは即座に無視され、セキュリティ ホールはまだ修正されていません。なぜ彼らはそれを修正したくないのですか? 悪意のある誰かが宿屋に侵入し、すべてを破壊することを選択するまでに、どれくらいの時間がかかりますか?

最近、なぜこれに注目が集まっていないのか疑問に思います。また、実際に Web アプリケーションのセキュリティの欠陥をテストすることを提案することには、多くのビジネス チャンスがあると思います。好奇心が強すぎるのは私だけですか、それとも同じ経験をした人は他にいますか? ノルウェーでは、実際に Web ページに侵入しようとすることは法律で罰せられます。たとえソース コードを確認して「隠しパスワード」を見つけ、それをログインに使用したとしても、すでに法律に違反していることになります。

4

8 に答える 8

14

私はかつて、オンラインオーディオブックストアで深刻な認証の脆弱性を報告しました。これにより、ログイン後にアカウントを切り替えることができました。これを報告する必要があるかどうかについても警戒していました。ドイツではハッキングも法律で禁止されているからです。そこで、この脆弱性を匿名で報告しました。

答えは、ソフトウェアが親会社によって保守されていたため、彼ら自身ではこの脆弱性を確認できなかったものの、私の報告を喜んでいたということでした。

後で、脆弱性の危険性を確認し、現在修正されているという返信がありました。そして、彼らはこのセキュリティレポートについてもう一度感謝したいと思い、iPodとオーディオブックのクレジットをプレゼントとしてくれました。

したがって、脆弱性を報告することが正しい方法であると私は確信しています。

于 2009-03-20T17:51:41.087 に答える
9

「私は、Imが他のアプリケーションをエクスプロイトやセキュリティホールについて、おそらく好奇心のためにテストすることがよくあることを発見しました。」

英国では、「コンピュータ誤用法」があります。今、あなたがたぶん「見ている」これらのアプリケーションがインターネットベースであり、関係するISPが(純粋に政治的な動機のために)調査するのを邪魔することができるなら、あなたは指で触れられることになります。あなたがBBCでない限り、ほんの少しの「テスト」を行うだけでも、ここで有罪判決を受けるのに十分です。

ペネトレーションテストハウスでさえ、システムのセキュリティ保証を提供するために正式な作業を行うことを希望する企業からのサインオフが必要です。

脆弱性の報告の難しさを予想するために、私は実際の雇用主にこれを経験しました。かなり深刻な問題が発生し、ブランドの損傷などから、年間の£をサポートするために業務を完全に停止するまで、人々は何ヶ月もそれに座っていました。 100メートルのE-Com環境。

于 2009-03-23T13:33:44.880 に答える
6

私は通常、サイト管理者に連絡しますが、応答はほとんど常に「JavaScriptページの検証を破った場合は私があなたを訴えます」です。

人々は自分たちのものが壊れていると聞くのが好きではありません。

于 2009-03-20T17:32:26.033 に答える
6

管理者に通知するのが最善の方法ですが、一部の企業は一方的なアドバイスを受け入れません。彼らは情報源を信用していないか、信じていません。

セキュリティ上の欠陥を悪用して危険に注意を向けるように勧める人もいますが、これには反対することをお勧めします。これにより、深刻な結果を招く可能性があります。

基本的に、あなたが彼らに知らせたならば、それはもはやあなたの問題ではありません(それがそもそもあったということではありません)。

あなたが彼らの注意を引くことを確実にするもう一つの方法は、それがどのように利用されることができるかに関して特定のステップを提供することです。そうすれば、電子メールを受信した人は誰でも簡単に確認して、適切な人に渡すことができます。

しかし、ラインの終わりでは、あなたは彼らに何も借りていないので、あなたがすることを選択することはあなたの首を突き出すことです。

また、Webサイトに警告するために使用する新しい電子メールアドレスを作成することもできます。これは、前述のように、エクスプロイトを検証することさえ違法である場所や、セキュリティ上の欠陥の代わりにあなたを追跡することを選択する企業もあるためです。 。

于 2009-03-20T17:35:25.650 に答える
6

多くのユーザーに影響がない場合は、サイト管理者に通知することが最も期待できることだと思います。エクスプロイトに広範な影響がある場合(Windowsセキュリティエクスプロイトなど)、問題を修正する立場にある人に通知し、エクスプロイトを公開する前に修正する時間を与える必要があります(公開することが意図されている場合)。

多くの人がエクスプロイトの公開について叫びますが、それが応答を得る唯一の方法である場合もあります。エクスプロイトを見つけた場合、利他的な意図が少ない人がそれを見つけて、すでにエクスプロイトを開始している可能性が高いことに注意してください。

編集:会社の評判を損なう可能性のあるものを公開する前に、弁護士に相談してください。

于 2009-03-20T17:40:06.637 に答える
3

私はあなたと同じように経験しました。私はかつて、無料で電子書籍をダウンロードできるエクスプロイトをoscommerceショップで見つけました。私は2つのメールを書きました:1)oscommerceの開発者、彼らは「既知の問題、このペイパルモジュールを使用しないでください、私たちは修正しません」と答えました2)ショップ管理者:まったく答えがありません

実際、私は行動するための最良の方法が何であるかわかりません...多分管理者に反応を強制するためにエクスプロイトを公表することさえあります。

于 2009-03-20T17:38:03.633 に答える
3

業者ではなく、管理者に連絡してください。通常、管理者は通知に感謝し、何かが発生して責任を負う前に問題を修正する機会を得ることができます。上層部、つまり顧客サービス担当者が通過するチャネルは、弁護士が関与するチャネルです。

私は、大学の NAS システムで遭遇した問題を報告したグループの一員でした。管理者は、私たちが穴を見つけて報告したことに非常に感謝し、私たちに代わって上司と議論しました (担当者は私たちを十字架につけたかったのです)。

于 2009-03-20T18:24:51.320 に答える
2

私たちはメインの開発者に、ログイン ページの sql インジェクションの脆弱性について通知しました。真剣に、それは古典的'<your-sql-here>--な品種です。ログインをバイパスすることはできませんが、任意の sql を簡単に実行できます。2ヶ月経っても治りません!今何をすべきかわからない...私のオフィスの他の誰も本当に気にかけません。私たちは小さなアップグレードや新機能のたびに多額のお金を払っているので、これは私を驚かせます. また、コードの品質と、このソフトウェアにどれだけの在庫を投入しているかを考えると、私も怖くなります。

于 2009-09-24T13:49:36.410 に答える