Bezpieczeństwo online jest dziś bardzo ważnym czynnikiem. Wiele firm jest całkowicie opartych na Internecie, a dostępnych jest mnóstwo poufnych danych do sprawdzenia tylko za pomocą przeglądarki internetowej.Hackowanie i wykorzystywanie - jak radzisz sobie z lukami w zabezpieczeniach?
Poszukiwanie wiedzy w celu zabezpieczenia własnych aplikacji Stwierdziłem, że często testuję inne aplikacje pod kątem exploitów i luk w zabezpieczeniach, może tylko z ciekawości. Ponieważ moja wiedza na tym polu rozszerzyła się dzięki testowaniu na własnych aplikacjach, czytaniu exploitów zero-day i czytając książkę The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws, zdałem sobie sprawę, że większość internetowych aplikacji sieciowych jest naprawdę narażona na wiele luk w zabezpieczeniach.
Co więc robisz? Nie jestem zainteresowany niszczeniem lub rujnowaniem czegokolwiek, ale mój największy "przełom" w hackingu postanowiłem zaalarmować administratorów strony. Moje zapytanie zostało natychmiast zignorowane, a luka w zabezpieczeniach nie została jeszcze naprawiona. Dlaczego nie mieliby tego naprawić? Jak długo potrwa, zanim ktoś o złych intencjach złamie karczmę i wybierze zniszczenie wszystkiego?
Zastanawiam się, dlaczego obecnie nie koncentrujemy się na tych sprawach. Sądzę, że będzie wiele okazji biznesowych, oferujących testowanie aplikacji internetowych pod kątem wad bezpieczeństwa. Czy to tylko ja mam zbyt dużą ciekawość, czy jest tam ktoś, kto doświadcza tego samego? W Norwegii jest w Norwegii karalne, że faktycznie próbujesz włamać się na stronę internetową, nawet jeśli po prostu sprawdzisz kod źródłowy i znajdziesz tam "ukryte hasło", użyj go do logowania, już łamiesz prawo.
Zgodnie z prawem (w większości krajów europejskich) nie można również milczeć, jeśli odkryje się coś, co może być szkodliwe dla ogółu społeczeństwa/konsumenta. Więc jesteś tu uwięziony między prawami. – Jacco
Tak ... dość głupio. Naprawdę chciałbym, żeby zmienili prawa w tym zakresie, ponieważ bezpieczeństwo jest tak samo ważne jak jest. Dzisiaj znalazłem dużą lukę w zabezpieczeniach w aplikacji CMS dla dość dużego klubu piłkarskiego Norweigan. Co robić co robić. Wykorzystaj to tak bardzo, jak tylko potrafię, zobacz, jak daleko mogę to zrobić, a potem zgłoś się? –
W USA nie ma obowiązku zgłaszania niczego, co "może być szkodliwe dla ogółu społeczeństwa/konsumenta". Co to za bzdurny brat? Ponadto, jeśli kasjer daje dodatkową zmianę, jest to legalne, aby wziąć pieniądze i nie zgłosić nadwyżki. Najlepszym wyjściem jest zapewnienie, że mieszkasz w USA i głosujesz na wolności. Tylko wtedy twoje hakowanie nie zostanie wtrącone do więzienia. –