今天,在线安全是一个非常重要的因素.许多企业完全基于网络,只有使用您的网络浏览器才能查看大量敏感数据.
寻求知识以保护我自己的应用程序我发现我经常测试其他应用程序的漏洞和安全漏洞,可能仅仅是为了好奇.通过测试自己的应用程序,阅读零日攻击以及阅读"Web应用程序黑客手册:发现和利用安全漏洞"一书,我对这一领域的了解已经扩展,我开始意识到大多数在线Web应用程序都是真的暴露在很多安全漏洞中.
所以你会怎么做?我没有兴趣摧毁或破坏任何东西,但我最大的"突破"黑客攻击我决定提醒页面的管理员.我的询问被及时忽略了,安全漏洞尚未解决.他们为什么不想修理它?在有意图的人打破旅馆并选择摧毁一切之前,会有多长时间?
我想知道为什么现在没有更多关注这一点,我认为实际提供测试Web应用程序的安全漏洞会有很多商机.只是我有一个太大的好奇心,还是有其他人经历过同样的事情?挪威的法律实际上是试图闯入网页,即使您只是查看源代码并在那里找到"隐藏密码",使用它进行登录,您已经违法了.
我曾经在一家在线有声读物商店报告了一个严重的身份验证漏洞,允许您在登录后切换帐户.如果我报告此情况,我也很谨慎.因为在德国,法律也禁止黑客入侵.所以我匿名报告了这个漏洞.
答案是,虽然他们无法自己检查这个漏洞,因为该软件是由母公司维护的,但他们很高兴我的报告.
后来我得到了一个答复,他们证实了漏洞的危险性,现在已经解决了.他们想再次感谢我这份安全报告,并为我提供了iPod和有声读物信用作为礼物.
因此,我确信报告漏洞是正确的方法.
"我发现我经常测试其他应用程序的漏洞和安全漏洞,可能仅仅是为了好奇".
在英国,我们有"计算机滥用法案".现在,如果这些应用程序你谚语"看"是基于互联网而且互联网服务供应商的相关问题可能会受到调查(纯粹是出于政治动机),那么你就是在开放自己.即使做了最轻微的"测试",除非你是英国广播公司,这足以让你在这里被定罪.
甚至渗透测试机构也要求希望进行正式工作的公司签字,以便为其系统提供安全保障.
为了设定对报告漏洞的难度的期望,我已经与实际的雇主一起提出了一些相当严重的东西已被提出,人们已经从品牌损坏等几个月坐在它上面甚至完全关闭运营以支持每年一英镑100米E-Com环境.
我经常联系网站管理员,虽然响应几乎总是"你打破我的javascript页面验证我会起诉你."
人们只是不喜欢听到他们的东西坏了.
告知管理员是最好的办法,但有些公司不会采取不请自来的建议.他们不相信或不相信来源.
有些人会建议你以破坏性的方式利用安全漏洞来引起他们对危险的注意,但我建议不要这样做,因此你可能会因此而产生严重的后果.
基本上,如果你告诉他们它不再是你的问题(不是它首先出现).
确保您获得关注的另一种方法是提供有关如何利用它的具体步骤.这样,任何收到电子邮件验证的人都会更容易,并将其传递给合适的人.
但是在最后一行,你欠他们什么都没有,所以你选择做的任何事情就是把你的脖子伸出来.
此外,您甚至可以创建一个新的电子邮件地址供您自己用来提醒网站,因为正如您所提到的,有些地方甚至是非法的甚至验证漏洞,有些公司会选择追求您而不是安全漏洞.
如果它不影响许多用户,那么我认为通知网站管理员是您可以期望做的最多.如果漏洞利用具有广泛的分支(如Windows安全漏洞),那么您应该通知有能力解决问题的人,然后在发布漏洞利用之前给他们时间来修复它(如果发布是您的意图).
很多人都抱怨利用出版物,但有时这是获得回应的唯一方式.请记住,如果您发现了漏洞,那么利他主义意图较少的人很可能已经找到它并且已经开始利用它.
编辑:在您发布可能损害公司声誉的任何内容之前咨询律师.
京公网安备 11010802040832号 | 京ICP备19059560号-6 