Soru:
Bir güvenlik açığı iddiasında bulunan beyaz şapkalı bir bilgisayar korsanıyla nasıl devam edilir?
Vcode
2019-02-14 01:59:04 UTC
view on stackexchange narkive permalink

Hackenproof üyesi olduğunu iddia eden biri tarafından kısa süre önce iletişime geçen küçük bir şirketin güvenlik üyesiyim. googlebot tarafından dizine eklendiğini bildiriyorlar (meta veriler, zayıf sayfa içeriği, bağlantı metni sorunları) ve bir XSS güvenlik açığı.

Henüz VDP (güvenlik açığı ifşa politikası) ile ilgili bildiğim herhangi bir yasal beyannamemiz yok.

Sorularım:

  1. Temel olarak nasıldevam etmek için mi, hatta biz mi?(Yasal mı?)
  2. Beyaz bir bilgisayar korsanının ortak beklentisi nedir?
  3. Güvenlik açığı nasıl doğrulanır?
https://hackenproof.com/#how-it'e göre - "Güvenlik açıkları, Koordinasyon platformumuz aracılığıyla gönderilir ve yönetilir."Hackenproof tarafından kendinize ulaşmadığınızdan emin misiniz?onların tüm iş modelleri, sizinki gibi gerçekten bir güvenlik odağı olmayan şirketler için hata ödül programları oluşturmaktır."üyeleri" sadece böcek ödülleri için rekabet ederler, şirketlerle kendileri iletişime geçmezler. eğer şirket değilse, o zaman birisi sosyal mühendislik gibi görünür
Yapabileceğiniz en az şey, şirketinizdeki güvenlik sorumlusuna sizinle iletişime geçildiğini ve bir xss güvenlik açığından söz edildiğini bildirmektir.Bilgiyi ifşa etmemekle ilgili kısım sağduyu.
[Buna] çok benziyor (https://security.stackexchange.com/q/178076/168620)
Muhtemelen ilgili: [Ofisimiz yanıyor.Henüz bir Yangına Müdahale Politikamız yok.Bir yerde kalmalı mıyız, yoksa aceleyle bir tane mi yazmalıyız, ki bu kesinlikle idealden daha az mı?] (
GDPR uyarınca bir veri ihlalinden sonra 72 saat içinde ilgili makamlara haber vermeniz gerektiğini unutmayın.Herhangi bir AB müşteriniz yoksa sizin için geçerli olmayabilir, ancak yaparsanız dün buna başlamak isteyeceksiniz.
@Harper İyi bir karşılaştırma değil, sorumun muhabire nasıl yanıt vereceğimize ve muhabirin / savunmasızlığın yasal olmasını sağlamak için hangi noktaları dikkate almamız gerektiğine dair net olduğunu düşünüyorum.
Ne yaparsan yap, lütfen [bir Oracle almayın] (https://web.archive.org/web/20150811052336/https://blogs.oracle.com/maryanndavidson/entry/no_you_really_can_t) ve beyazı dava etmeye çalışmayınşapka.
"Temas kuruldu" derken, "e-postayla gönderildi" mi demek istiyorsun?"meta veriler, zayıf sayfa içeriği, bağlantı metni sorunları" - bu, benimle alarm zillerini çaldıran ve iş / para kazanmaya çalışırken _spammer_ diye bağıran kısımdır.Neden birincil güvenlik endişesiyle ilgisi olmayan "potansiyel" sorunları gündeme getirmelisiniz ("birincil güvenlik sorunu" yoksa ve gerçekten sadece web sitenizde çalışmak istemiyorsa)?
Şirket, güvenlik açığının bir şeyi ihlal etmek için kullanıldığını tespit etmedikçe, @Cubic XSS güvenlik açığı bir veri ihlali değildir.Ayrıca, rastgele bir ahbapın olduğunu söylediğinde değil, ihlali öğrendiğiniz andan itibaren 72 saat.
Beş yanıtlar:
Buffalo5ix
2019-02-14 03:19:05 UTC
view on stackexchange narkive permalink

Sorularınızın her birini yanıtlamak için:

1. Temel olarak nasıl devam edeceğiz, hatta yapmalıyız?

Devam etmenizi öneririm. Şirketinizin güvenliğini artırmak için hemen kullanılabilecek değerli bilgiler elde edebileceksiniz. Araştırmacının size ne gönderdiğini bize söylemediniz, ancak ya güvenlik açığının bir açıklaması ya da onu yeniden üretme yöntemleri olacak. Devam etmek için onlardan ihtiyacınız olacak:

  • Bulunan güvenlik açığının bir açıklaması / saldırı senaryosu. Bu neden bir sorun? Hata, bir saldırganın yapmaması gereken bir şeyi yapmasına özellikle izin veriyor, bulgunun en kötü senaryosu / ciddiyeti nedir?

  • Üreme aşamaları. Herhangi bir mühendise hangi adımları atabilir ve her seferinde hatayı yeniden üretmelerine izin verebilirsiniz.

  • Karşılığında bilgisayar korsanının aradığı şey. Belirtildiği gibi, bulguyu sabitledikten veya paradan sonra yayınlama izni olabilir.

  • Ayrıca araştırmacıdan iyileştirme önerileri, risk puanları vb. isteyebilir veya alabilirsiniz.

ÇOK ÖNEMLİ: Araştırmacıya, sorun çözülene kadar sorunu gizli tutmasını beklediğinizi açıklayın. Bir düzeltme penceresi ile karşı çıkabilir, örneğin 60 gün içinde sorun çözülmezse yayınlayıp makale yazabilirler. Bu yaygın bir uygulamadır ve güçlü bir güvenlik duruşuna sahip çoğu şirket için kabul edilebilir olmalıdır.

2. Beyaz (şapkalı) bir bilgisayar korsanının ortak beklentisi nedir?

Araştırmacıya bağlıdır, ancak büyük olasılıkla bulguyu düzeltildikten sonra yayınlamak için parasal bir ödülün yanı sıra izin isteyeceklerdir. Ödül fiyatları, ödül programının genel ciddiyetine ve boyutuna bağlıdır. Büyük bir hata ödül platformu olan Hackerone, şirketin / ödül programının boyutuna göre ödemeleri öneren bir matrise sahiptir: https://www.hackerone.com/resources/bug-bounty-basics. Ödeme fiyatını belirlemek ince bir sanattır - Benzer hatalar için hackerone veya diğer böcek ödül platformlarını araştırmanızı ve ödemenizi diğer şirketlerin aynı sorun için ne kadar ödediğine dayandırmanızı öneririm.

Yine, araştırmacıların ortak bir beklentisi olacaktır bulguyu o zamana kadar düzeltilip düzeltilmediğine bakılmaksızın belirli bir süre içinde yayınlayabilmeleridir. 60 gün yaygındır, ancak şirketinizin o pencerede teslimat yapabileceğinden emin değilseniz, belirli bir süre kabul etmem. Sorun düzeltildikten sonra, bilgisayar korsanı düzeltmenin doğru şekilde uygulandığını doğrulamak isteyebilir.

3. Nasıl doğrulanır?

Bilgisayar korsanının size verdiği yeniden üretim adımlarını kullanın. Herhangi bir mühendisin adımları tam olarak uygulayabileceği ve hatayı yeniden oluşturabileceği kadar açık olmalıdırlar. Burada herhangi bir sorun varsa araştırmacıya geri dönebilir ve açıklama alabilirsiniz. Hatayı özetleyen ve tanımlayan yeniden üretim adımlarını şirkete sağlamak araştırmacıların sorumluluğundadır.

Sorun çözüldükten sonra, araştırmacıyı düzeltmeyi doğrulamaya ve tamamen yamalandığından emin olmaya davet edebilirsiniz.

Rapor XSS üzerindedir ve düzeltme ve çoğaltma bölümüne sahiptir.bu, bir saldırganın kurban adına ileri düzey kimlik avı saldırıları gerçekleştirebileceğini, yetkisiz ödeme işlemi gerçekleştirebileceğini veya keyfi eylemler gerçekleştirebileceğini iddia ettikleri bir açılır penceredir.
Bağlam için teşekkürler!XSS, dedikleri gibi yetkisiz ödeme işlemlerini gerçekten gerçekleştirebilirlerse, ciddiyet açısından değişebilir, o zaman bu kesinlikle kritik bir konudur.Elbette bu iddiayı doğruladığınızdan emin olun!Şirketinizin veya güvenlik ekibinizin ne kadar büyük olduğu duygusu olmadan sayılardan bahsetmek çok zordur - 3.000 $ 'dan az bir şeyin hakaret edici derecede düşük bir ödeme olduğunu düşünürdüm ** varsayarsak ** bu XSS'yi fonları boşaltmak için gerçekten kullanabileceğinizi varsayarsak **.Aksi takdirde, bu saldırı ile yapabileceğiniz en kötü şeyin ne olduğunu bulun, 500-3000 $ arası herhangi bir yer XSS için tipik olacaktır.
+1, iyi yanıt.Küçük bir eleştiri.Halihazırda bir böcek ödülü belirlenmemişse, talep edilse bile ödemeniz gerektiğini düşünmüyorum.Bu, ilişkiyi bir sosyal sözleşmeden bir pazar sözleşmesine dönüştürür.Sosyal sözleşmeler genellikle pazardaki sözleşmelerden daha fazla değer sağlar ve sosyal sözleşmeleri büyük şirketlerin yapabileceğinden çok daha kolay sürdürebildikleri için küçük şirketler için iyi çalışır.Paraya çevirirseniz, tamamen farklı bir oyundur.Kredinin vadesi geldiği yerde kredi vermek sosyal sözleşmeyle daha uyumludur.
İyi bir nokta @SteveSether ve kesinlikle değerlendirmeye değer.Bu yorum dizisini genişletilmiş bir tartışmaya dönüştürme riski altında: Ben şahsen, böcek yayındayken araştırmacıyı yatıştırmak için bulgular için ödeme yapılmasını savunuyorum.Karışıma para getirmenin suları karıştırdığı konusunda haklısınız, ancak araştırmacı ile iyi niyet inşa etmenin ve onlara bir düzeltme uygulanana kadar gizliliği korumaları için bir neden vermenin gerekli bir kötülük olduğunu düşünüyorum.
@Buffalo5ix Bence sorun, cevabınızın onu bir beklenti olarak çerçevelemesi.Şahsen, herhangi bir hata ödül programı kurulmamışsa, benim beklentim hatanın zamanında giderilmesi ve yayınlayabilmemdir.Para beklemiyorum (ve etik ve yasal çıkarımlar nedeniyle kesinlikle talep etmeyeceğim).Bunu, karşılanması gereken bir beklenti yerine iyi niyet oluşturmak için kullanılabilecek isteğe bağlı bir eylem olarak çerçevelemek istiyorum.
10 yıla kadar hapis cezasına çarptırılmış bir suçlu olmadan yetkisiz ödeme işlemleri yapabileceğimi nasıl iddia edebilirim?Bir suçlu olarak bana nasıl güvenirsin?
@Damon Bir web sitesindeki güvenlik açıklarından haberdar olmak (ödeme işlemlerini başlatabilen bir web sitesi bile) suç değildir.Bunun mümkün olduğunu bilmek için gerçekten bir saldırı gerçekleştirmenize gerek yok.
@Damon, son işlemi fiilen gerçekleştirme haricindeki her adımı uygulayarak artık makul bir güven içinde * bir düğmeye basmış olsaydınız * işlemin gerçekleşeceğini bilirsiniz.Elbette, amacınız yalnızca saldırının gerçekten yapmadan mümkün olup olmadığını görmek olduğu için, bir suçlu değilsiniz.Sahibini uyarmak amacıyla siteyi hata testi yapıyorsunuz.
@SteveSether Cevap, hata muhabirinden zaman ve çaba açısından önemli bir girdi bekliyor.Kabul etmek için bunu yapan insanlar var, ancak onlardan bu konuda profesyonel bir tutum sergilemelerini bekliyorsanız, o zaman şirketin de profesyonel bir tavır alması adildir.Bu, diğer tüm alt sözleşmeli uzman çalışmaları gibi, uzmanlık ve zaman karşılığında ödemeyi hak ediyor.
@Graham OSS'ye ve yukarıda anlattıklarınıza karşı örnekler için bu foruma bakmak isteyebilirsiniz.Pek çok insan para için değil, sevgisi için bir şeyler yapar.Kabul etmek zorunda değilsin ama kabul etmelisin.
@SteveSether İnsanların bunu sadece eğlence için yapabileceklerine katılmıyorum, ancak şirkete harcadıkları çabanın karşılığını vermeyi teklif etmek, şirketin bu çabaya nasıl değer verdiğinin bir göstergesidir.Beyaz şapka onu hayır kurumlarına bağışlamayı seçerse veya reddederse, sorun değil.Daha sonra, şirketin tüm bu işi sıfır ödül için koyacağını varsaymak yerine, beyaz şapka için bir seçim haline gelir.
@Graham Benim görüşüm sosyal sözleşmelerin pazardaki sözleşmelerden daha değerli olması, özellikle (bu durumda) küçük bir şirket için.Şirketler birini veya diğerini kurma yeteneğine sahiptir ve sosyal sözleşme uygunsa değerlendirilmelidir.Bazı şirketler bir pazara daha uygun olabilir ve bu sorun değil.Sadece sosyal değer ve sosyal sözleşmeler iş dünyasında yeterince tanınmıyor ve daha fazla ilgiyi hak ediyorlar.
@SteveSether Onlar daha değerli mi?Elbette farkındalık oluşturabilirler, ancak 2000'lerin başında internetteki herkesin size söyleyebileceği gibi farkındalık aynı değere sahip değildir.İnsanlara övünme hakları vermek istiyorsanız, yaptıklarını duyurmanız gerekir.Küçük bir şirketten bu tür destansı başarısızlıklar için, şirket halka açılırsa kadeh kaldırır.Gerçek bir vuln buldularsa, onlara ödeme yapın ve onları NDA yapın.
Steve Sether
2019-02-14 02:50:35 UTC
view on stackexchange narkive permalink

Hackenproof, herkesin kaydolabileceği bir web sitesi gibi görünüyor, bu nedenle Hackproof üyesi olduğunuzu söylemek, Facebook üyesi olduğunuzu söylemekle eşdeğerdir. Bu, özel bir hacker grubu değil.

Böyle bir durumda ilerlemenin resmi bir standart yolu yoktur, çünkü şirketiniz, işiniz, hata ve beyaz şapka büyük ölçüde değişecektir. Tek bir beden her şeye uymaz.

Genel olarak dikkatli ama meraklı olmanız önerilir. Dikkatli olun ama paranoyak ve kinci davranmayın. Beyaz şapkaya herhangi bir dahili bilgi vermeyin, çok az şey açığa çıkarırken veya hiçbir şey ifşa etmeden mümkün olduğunca fazla bilgi almaya çalışın. Bu insanların çoğu kendi uzmanlıklarını göstermek için konuşmayı sever. Bırakın yapsınlar. Bilgi yalnızca tek yönlü akarsa meydana gelebilecek çok az zarar vardır. Ondan kaynak kodunu veya sorunun ayrıntılı bir açıklamasını isteyin. Ardından kodu / açıklamayı analiz edin ve kendi istismarınızı yazın (ve beyaz şapkalar kodunu derlemeyin veya çalıştırmayın), tercihen başka bir ortamdan mümkün olduğunca izole bir test örneğine karşı çalıştırın.

As Her bir tarafın sorumluluklarına gelince, bugünlerde beyaz şapka korsanları olduğunu iddia eden çoğu insan, sorumlu bir açıklama pratiği yapacak ve hata düzeltilinceye kadar dünyaya yaymayacaktır. Sorumluluğunuz, hatayı makul bir süre içinde (birkaç hafta, yıllar değil) düzeltmektir (yeterince ciddiyse). Şirketiniz ödül veriyorsa, hata kriterleri karşılıyorsa ödenmesi gerekir. Aksi takdirde, beyaz şapka kendilerine muhtemelen ödeme yapılmayacağını kabul etmelidir, ancak hatayı makul bir süre içinde düzeltilmezse kamuoyuna açıklayabileceklerini de kabul etmelisiniz.

"Çok az şey açığa çıkarırken veya hiçbir şey açığa çıkarmadan olabildiğince fazla bilgiyi önceden almaya çalışın."Bunu yapmanın kolay yolu: "Bizi uyardığınız için teşekkürler! Yeniden üretmek için adımlar verebilir misiniz?"Hiçbir şeyi ifşa etmez, hiçbir şey vaat etmez, ihtiyacınız olan tüm bilgileri ister.Çalıştırmak istemeyeceğin sürece, kesinlikle gerekli olmadıkça kaynak kodunu bile istemezdim.
@jpmc26 Bence kaynak kodu sormak, taklitçileri ve araştırıcıları gerçek beyaz şapkalardan ayırır.Bazı insanlar sadece zamanınızı boşa harcıyor olabilir ve kaynak kodu önemli noktalara iner.
Gerçekten bir güvenlik açığı bulamazlarsa, yeniden üretmek için meşru adımlar sağlamanın da aynı derecede zor olacağından oldukça eminim.Eğer gerçekten kaynak kodu gerektirecek kadar karmaşıksa, meşru biri muhtemelen sadece adımlar sorulduğunda veya en azından sağlamayı teklif ettiğinde bunu sağlar.
Mike Ounsworth
2019-02-14 02:52:26 UTC
view on stackexchange narkive permalink

Burada katı kurallar olduğunu bilmiyorum.Bunu oyun teorisi olarak ele alalım:

Araştırmacının istediği

Genellikle:

  • CVE veya bir CVE gibi keşif içinaraştırma makalesi.
  • Bazen böcek ödülü biçiminde para.

Ne istiyorsun

Genellikle:

  • Açıkça aşağılanmamak.
  • Ürününüzün güvenliğini artırmak için.

Nasıl devam edilir

Bir oyun teorisindenbakış açısına göre, kazan-kazan durumu, onların ayrıntıları size ifşa etmeleri, sizin düzeltmeniz ve kamuya açık kredilerini almalarıdır.Araştırmacı ile bir telefon görüşmesi ayarlamalı ve bir demo istemelisiniz - çok şey kazanacak ve hiçbir şey kaybetmeyeceksiniz.Araştırmacının, ayrıntıları size göstermeye istekli olmadan önce, sonunda kredilerini almasını sağlayacak bir Gizlilik Sözleşmesi veya başka bir yasal sözleşme isteyebileceğini unutmayın.

ANone
2019-02-15 17:03:18 UTC
view on stackexchange narkive permalink

Bunda da oldukça yeni olduklarını belirtmeye değer olabilirim, pek çok "artı" var ve bu şekilde para kazanıyorsanız, muhtemelen bir sürecin var, ancak bu normalde bir şirketle bazı anlaşmaları gerektirir işe başlamadan önce.Ama o zaman bile şirketlere ve işin türüne göre değişir.

Yine de bu bana bir meraklı gibi geliyor.Adamla konuşmaktan kaybedecek bir şey olduğundan gerçekten şüpheliyim.Gerçekçi olmayan beklentileri olabilir, ancak ne kaybedersiniz?

Yan not, bu küçümseyici davranırsa özür dilerim, ama bunun söylenmesi gerektiğini düşünüyorum: En azından bunun sizin varlığınıza bir giriş yolu olması düşünülebilir. 'had ', "sisteminizin bazı uygulama ayrıntıları hakkında hızlıca sohbet edebilir miyiz" muhtemelen' hayır 'demeniz gereken bir şeydir, hatta özellikle havuç ikram etmeye gelirlerse.

thomasrutter
2019-02-18 07:12:07 UTC
view on stackexchange narkive permalink

Bir kişinin bir yorumda söylediği şeyi yinelemek için, bir dolandırıcılığı veya gaspı denemek ve göz ardı etmek adil olur. İşte göz önünde bulundurmanız gereken birkaç nokta.

  • Bilgi almak için herhangi bir ödemeden bahsediliyor mu - hatta bir tür "idari ücret" bile var mı? Önceden mevcut bir hata ödülünüz olmadığını varsayarsak, meşru bir araştırmacının para istemesi olası değildir - hatanın düzeltilmesini ve onu bulmak için kredi alabilmesini isterler. Para istemek bir gasp girişimi olarak görülebilir veya en iyi ihtimalle etik değildir.

  • Yeniden üretme adımları, onları yeniden üretmenize yardımcı olamayacak kadar belirsiz mi? Mühendislerinizin, neye sahip olduğunuzu tam olarak bilmesi ve önemsiz de olsa bir güvenlik açığı olduğunu doğrulaması için onları erken araştırmasını sağlayın. Normal uygulamaları takip ediyor olmanıza rağmen detay vermek konusunda biraz isteksizler mi? Ne yaparsanız yapın, güvenlik açığı belirsiz ve doğrulanmamış kalırsa, meşru bir raporla uğraşmıyor olabilirsiniz.

  • Yazılımınızın nasıl olduğu hakkında bilgi edinmek için fazlasıyla istekli görünüyorlar mı? şirketiniz veya işletmeniz hakkında çalışıyor mu, hatta bilgi mi?

  • Kişi bir grubu temsil ettiğini iddia ederse, gerçekten işe yaradığını doğrulayabilir misiniz?

Devam etmenin normal yolu, muhabire hatayı düzeltmeyi taahhüt ettiğinizden emin olmak, düzeltmenin gönderilmesi için bir zaman çerçevesi vermektir (zaten istedikleri bir zaman dilimi belirtmiş olabilirler, ancak bu mantıksız görünüyorsa , müzakere) daha sonra yayınlayabilirler. Ya da, yeniden test edip güvenlik açığının bir şekilde hala var olduğunu bulmaları durumunda, daha sonra ek süre isteyip istemediğinize bakın.

Ödül olarak para vermek biraz etik bir ikilemdir, bir yandan ödüllendirmek iyidir, ancak diğer yandan bir hata ödülünüz yoksa güvenlik açıkları bulma ve ödeme bekleme pratiğini teşvik etme riski taşır,bu da siyah şapka davranışına yaklaşıyor.Yine, biraz para vermek niyetinde olsanız bile, önce para konusunu gündeme getirirlerse dikkatli olun.Ancak bunu yaparsanız, bir tür resmi hata ödül programı kurmanız herkes için daha iyi olur.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 4.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...