Hackowanie i wykorzystywanie - jak radzisz sobie z lukami w zabezpieczeniach?

Question

Bezpieczeństwo online jest dziś bardzo ważnym czynnikiem. Wiele firm jest całkowicie opartych na Internecie, a dostępnych jest mnóstwo poufnych danych do sprawdzenia tylko za pomocą przeglądarki internetowej.

Poszukiwanie wiedzy w celu zabezpieczenia własnych aplikacji Stwierdziłem, że często testuję inne aplikacje pod kątem exploitów i luk w zabezpieczeniach, może tylko z ciekawości. Ponieważ moja wiedza na tym polu rozszerzyła się dzięki testowaniu na własnych aplikacjach, czytaniu exploitów zero-day i czytając książkę The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws, zdałem sobie sprawę, że większość internetowych aplikacji sieciowych jest naprawdę narażona na wiele luk w zabezpieczeniach.

Co więc robisz? Nie jestem zainteresowany niszczeniem lub rujnowaniem czegokolwiek, ale mój największy "przełom" w hackingu postanowiłem zaalarmować administratorów strony. Moje zapytanie zostało natychmiast zignorowane, a luka w zabezpieczeniach nie została jeszcze naprawiona. Dlaczego nie mieliby tego naprawić? Jak długo potrwa, zanim ktoś o złych intencjach złamie karczmę i wybierze zniszczenie wszystkiego?

Zastanawiam się, dlaczego obecnie nie koncentrujemy się na tych sprawach. Sądzę, że będzie wiele okazji biznesowych, oferujących testowanie aplikacji internetowych pod kątem wad bezpieczeństwa. Czy to tylko ja mam zbyt dużą ciekawość, czy jest tam ktoś, kto doświadcza tego samego? W Norwegii jest w Norwegii karalne, że faktycznie próbujesz włamać się na stronę internetową, nawet jeśli po prostu sprawdzisz kod źródłowy i znajdziesz tam "ukryte hasło", użyj go do logowania, już łamiesz prawo.

Answer 1

"Stwierdziłem, że często testuję inne aplikacje pod kątem exploitów i luk w zabezpieczeniach, może tylko z ciekawości".

W Wielkiej Brytanii mamy ustawę "Computer Misuse Act". Teraz, jeśli te aplikacje, o których mówisz, są "oparte na Internecie" i zainteresowani usługodawcami internetowymi mogą zostać przebadani (z czysto politycznych pobudek), to otwierasz sobie palce. Nawet wykonanie najmniejszego "testu", chyba że jesteś BBC, wystarczy, aby cię tu skazać.

Nawet domy testowe do penetracji wymagają podpisu od firm, które chcą podjąć formalną pracę w celu zapewnienia bezpieczeństwa w swoich systemach.

Aby określić oczekiwania dotyczące problemów związanych z podatnością na zgłaszanie luk, miałem to w przypadku rzeczywistych pracodawców, w których zgłoszono kilka poważnych problemów, a ludzie przez wiele miesięcy brali w tym udział od szkód związanych z marką, a nawet całkowicie likwidowali wspierać roczne środowisko E-Com o wartości 100 milionów funtów.

Answer 2

Zwykle kontaktuję się z administratorem strony, chociaż odpowiedź jest prawie ZAWSZE "omg złamałeś moją walidację strony javascript, którą pozwie cię".

Ludzie po prostu nie lubią słyszeć, że ich rzeczy są zepsute.

Answer 3

Poinformowanie administratora jest najlepszą rzeczą do zrobienia, ale niektóre firmy po prostu nie przyjmują niezamawianej porady. Nie ufają ani nie wierzą w źródło.

Niektóre osoby radzą, aby wykorzystać lukę bezpieczeństwa w szkodliwy sposób, aby zwrócić ich uwagę na niebezpieczeństwo, ale zalecam odradzenie tego i możliwe, że z tego powodu możesz mieć poważne konsekwencje.

Zasadniczo, jeśli poinformowałeś ich, to już nie jest twój problem (nie, że kiedykolwiek był na pierwszym miejscu).

Innym sposobem na zwrócenie ich uwagi jest wskazanie konkretnych sposobów ich wykorzystania. W ten sposób łatwiej będzie każdemu, kto otrzyma e-mail, aby to zweryfikować i przekazać właściwym osobom.

Ale na końcu linii nic im nie jesteś winien, więc wszystko, co wybierzesz, polega na tym, żeby trzymać się za szyję.

Możesz również utworzyć dla siebie nowy adres e-mail, aby ostrzegać witryny, ponieważ, jak już wspomniano, w niektórych miejscach nielegalne byłoby nawet sprawdzenie exploita, a niektóre firmy zamiast tego zdecydowałyby się na Ciebie. luki bezpieczeństwa.

Answer 4

Doświadczyłem tego samego, co ty. Kiedyś znalazłem exploita w sklepie oscommerce, gdzie można było pobrać e-booki bez płacenia. Napisałem dwa maile: 1) Twórcy osCommerce, odpowiedzieli „znany problem, po prostu nie korzystać z tej paypal moduł, nie będziemy naprawić” administratorem 2) sklep: nie odpowiedział na wszystkich

Faktycznie mam nie mam pojęcia, jaki jest najlepszy sposób na zachowanie ... może nawet upublicznić exploita, aby zmusić adminów do reagowania.

Answer 5

Jeśli nie ma to wpływu na wielu użytkowników, myślę, że powiadomienie administratorów strony jest tym, czego można oczekiwać. Jeśli exploit ma szerokie implikacje (jak exploit bezpieczeństwa Windows), powinieneś powiadomić kogoś w stanie naprawić problem, a następnie dać im czas, aby to naprawić przed opublikowaniem exploita (jeśli publikacja jest Twoim zamiarem).

Wiele osób płacze na temat publikacji exploitów, ale czasami jest to jedyny sposób na uzyskanie odpowiedzi. Pamiętaj, że jeśli znalazłeś exploita, istnieje duże prawdopodobieństwo, że znalazł go ktoś o mniej altruistycznych zamiarach i już zaczął go wykorzystywać.

Edytuj: Przed opublikowaniem czegokolwiek, co może zaszkodzić reputacji firmy, skonsultuj się z prawnikiem.

Answer 6

Kiedyś zgłosiłem poważną usterkę uwierzytelniania w sklepie audiobooków online, która umożliwiła zmianę konta po zalogowaniu. Byłem również ostrożny, gdybym to zgłosił. Ponieważ w Niemczech hakowanie jest zabronione przez prawo. Zgłaszałem lukę anonimowo.

Odpowiedź była taka, że ​​chociaż nie potrafili sprawdzić tej luki samodzielnie, ponieważ oprogramowanie było utrzymywane przez firmę macierzystą, byli zadowoleni z mojego raportu.

Później otrzymałem odpowiedź, ponieważ potwierdzili oni niebezpieczeństwa związane z luką w zabezpieczeniach i zostały naprawione. I znowu chcieli mi podziękować za ten raport bezpieczeństwa i zaoferowali mi prezent na iPoda i audiobooka.

Jestem więc przekonany, że zgłaszanie luki jest właściwą drogą.

Answer 7

Skontaktuj się z administratorem, a nie osobą biznesową. Ogólnie rzecz biorąc, administrator będzie wdzięczny za powiadomienie i szansę rozwiązania problemu, zanim coś się stanie i zostanie obwiniany za to. Wyższy poziom lub kanały, przez które przechodzi osoba obsługująca klienta, to kanały, w które angażują się prawnicy.

Byłem częścią grupy osób, które zgłosiły problem, z którym natknęliśmy się na system NAS na Uniwersytecie. Administratorzy byli bardzo wdzięczni, że znaleźliśmy dziurę i zgłosiliśmy to, i kłóciliśmy się z ich szefami w naszym imieniu (ludzie odpowiedzialni chcieli nas ukrzyżować).

Answer 8

Poinformowaliśmy głównego programistę o luce sql injection na stronie logowania. Poważnie, to klasyczna odmiana '<your-sql-here>--. Nie możesz ominąć logowania, ale możesz łatwo uruchomić dowolny sql.Jeszcze nie zostało naprawione w ciągu 2 miesięcy! Nie jestem pewien, co teraz zrobić ... nikt w moim biurze naprawdę nie dba o to, co mnie zadziwia, ponieważ płacimy tyle za każde małe ulepszenie i nową funkcję. To także przeraża mnie, gdy myślę o jakości kodu i ile akcji wkładamy w to oprogramowanie.