Взлом и эксплуатация - как вы справляетесь с любыми пробелами в безопасности? - PullRequest
27 голосов
/ 20 марта 2009

Сегодня онлайн-безопасность является очень важным фактором. Многие компании полностью основаны на Интернете, и существует множество конфиденциальных данных, которые можно проверить только с помощью веб-браузера.

В поисках знаний для защиты своих собственных приложений я обнаружил, что часто тестирую другие приложения на предмет уязвимостей и уязвимостей, возможно, просто из любопытства. Поскольку мои знания в этой области расширились благодаря тестированию собственных приложений, чтению эксплойтов нулевого дня и чтению книги Справочник хакера веб-приложений: обнаружение и использование недостатков безопасности , я пришел к выводу, что большинство онлайн веб-приложений действительно подвержены множеству дыр в безопасности.

Так что ты делаешь? Я не заинтересован в том, чтобы уничтожать или разрушать что-либо, но мой самый большой «прорыв» при взломе я решил предупредить администраторов страницы. Мой запрос был быстро проигнорирован, и дыра в безопасности еще не исправлена. Почему они не хотят это исправить? Сколько времени пройдет до того, как кто-то с плохими намерениями проникнет в гостиницу и решит все уничтожить?

Интересно, почему в эти дни не уделяется больше внимания, и я думаю, что было бы много возможностей для бизнеса предлагать тестировать веб-приложения на предмет недостатков безопасности. Это только у меня слишком большое любопытство или есть кто-то еще, кто испытывает то же самое? В Норвегии по закону предусмотрено наказание за попытку взлома веб-страницы, даже если вы просто проверите исходный код и найдете там «скрытый пароль», используйте его для входа в систему - вы уже нарушаете закон.

Ответы [ 8 ]

14 голосов
/ 20 марта 2009

Однажды я сообщил о серьезной уязвимости аутентификации в онлайн-магазине аудиокниг, которая позволяла вам переключать учетную запись после того, как вы вошли в систему. Я тоже был настороже, если мне следует сообщить об этом. Потому что в Германии взлом тоже запрещен законом. Поэтому я сообщил об уязвимости анонимно.

Ответ состоял в том, что, хотя они не могли самостоятельно проверить эту уязвимость, поскольку программное обеспечение поддерживалось материнской компанией, они были рады моему сообщению.

Позже я получил ответ, в котором они подтвердили опасность уязвимости и что она была исправлена ​​сейчас. И они хотели еще раз поблагодарить меня за этот отчет о безопасности и предложили мне в качестве подарка iPod и аудиокниги.

Так что я убежден, что сообщение об уязвимости - это правильный путь.

10 голосов
/ 23 марта 2009

«Я обнаружил, что я часто тестирую другие приложения на предмет уязвимостей и уязвимостей, возможно, просто для любопытства».

В Великобритании у нас есть «Закон о неправомерном использовании компьютеров». Теперь, если эти приложения, на которые вы общеизвестно "смотрите", говорят, например, на основе Интернета, и заинтересованные интернет-провайдеры могут быть обеспокоены расследованием (по чисто политическим мотивам), тогда вы открываете себя, подвергаясь критике. Даже малейшего «тестирования», если только вы не Би-би-си, достаточно, чтобы вас здесь осудили.

Даже для тестов на проникновение требуется подтверждение от компаний, которые хотят провести официальную работу по обеспечению безопасности своих систем.

Чтобы рассчитывать на сложность в сообщении об уязвимостях, у меня было это с реальными работодателями, где были подняты довольно серьезные вещи, и люди месяцами сидели на них от подобных ущербу бренду до даже полного прекращения операций для поддержки ежегодная среда E-Com стоимостью 100 млн. фунтов стерлингов.

6 голосов
/ 20 марта 2009

Если это не затрагивает многих пользователей, то я думаю, что уведомление администраторов сайта - это самое большее, от чего вы можете ожидать. Если эксплойт имеет широко распространенные последствия (например, эксплойт безопасности Windows), вы должны уведомить кого-либо, кто в состоянии устранить проблему, тогда дайте им время исправить ее , прежде чем публиковать эксплойт (если публикация - это ваша намерение).

Многие люди кричат ​​о публикации эксплойтов, но иногда это единственный способ получить ответ. Имейте в виду, что если вы нашли эксплойт, существует высокая вероятность того, что кто-то с менее альтруистическими намерениями нашел его и уже начал его использовать.

Редактировать: Проконсультируйтесь с юристом, прежде чем публиковать что-либо, что может повредить репутации компании.

6 голосов
/ 20 марта 2009

Лучше всего информировать администратора, но некоторые компании просто не будут принимать нежелательные советы. Они не доверяют или не верят источнику.

Некоторые люди советуют вам использовать уязвимость безопасности разрушительным образом, чтобы привлечь их внимание к опасности, но я бы порекомендовал против этого, и вполне возможно, что из-за этого у вас могут быть серьезные последствия.

По сути, если вы сообщили им, что это больше не ваша проблема (не то, чтобы это когда-либо было изначально).

Еще один способ привлечь их внимание - предоставить конкретные шаги по его использованию. Таким образом, кому бы ни было получено электронное письмо, его будет легче проверить и передать его нужным людям.

Но в конце строки вы им ничего не должны, поэтому все, что вы решите сделать, - это высунуть себе шею.

Кроме того, вы могли бы даже создать новый адрес электронной почты, чтобы использовать его для оповещения веб-сайтов, потому что, как вы упомянули, в некоторых местах было бы незаконно даже проверять эксплойт, и некоторые компании предпочитали бы вместо вас искать недостаток безопасности.

6 голосов
/ 20 марта 2009

Я обычно связываюсь с администратором сайта, хотя ответ почти ВСЕГДА "о боже мой, вы нарушили проверку моей страницы JavaScript, я буду судиться с вами".

Люди просто не любят слышать, что их вещи сломаны.

3 голосов
/ 20 марта 2009

Свяжитесь с администратором, а не лицом бизнес-типа. Как правило, администратор будет благодарен за уведомление и возможность исправить проблему до того, как что-то произойдет, и его обвинят в этом. Более высокий уровень, или каналы, по которым будет проходить специалист по обслуживанию клиентов, - это каналы, в которых участвуют юристы.

Я был частью группы людей, которые сообщили о проблеме, с которой мы столкнулись в системе NAS в университете. Администраторы были очень благодарны, что мы нашли дыру и сообщили об этом, и поспорили со своими боссами от нашего имени (ответственные лица хотели распять нас).

3 голосов
/ 20 марта 2009

Я испытал то же, что и вы. Однажды я нашел эксплойт в интернет-магазине, где можно было скачивать электронные книги без оплаты. Я написал два письма: 1) Разработчики oscommerce, они ответили: «Известная проблема, просто не используйте этот модуль PayPal, мы не будем исправлять» 2) Администратор магазина: нет ответа вообще

На самом деле я понятия не имею, как лучше всего себя вести ... возможно, даже обнародовать эксплойт, чтобы заставить администраторов реагировать.

2 голосов
/ 24 сентября 2009

Мы сообщили основному разработчику об уязвимости SQL-инъекций на их странице входа. Серьезно, это классический сорт '<your-sql-here>--. Вы не можете обойти логин, но вы можете легко выполнить произвольный SQL. До сих пор не было исправлено в течение 2 месяцев! Не уверен, что делать сейчас ... никто в моем офисе действительно не заботится, что поражает меня, так как мы платим так много за каждое небольшое обновление и новую функцию. Это также пугает меня, когда я думаю о качестве кода и о том, сколько акций мы вкладываем в это программное обеспечение.

...