我在家经营一家基于互联网的小型企业,并以此为生以养家糊口,但我仍然是一个单身人士,互联网安全远非我的专业领域。
昨天我收到了两封来自一个自称“道德黑客”的人的电子邮件,他在我的系统中发现了两个漏洞,他说这些漏洞可能被黑客利用。我相信他。
问题是,在每封电子邮件的底部,他都说他“希望得到赏金”。这是黑信吗?这是他说你最好付钱给我的方式,否则我会造成严重破坏吗?或者这是一种典型的合法的谋生方式,没有任何恶意?
编辑: 更多说明:他给了我两个带有屏幕截图的漏洞示例以及有关如何修复这些漏洞的明确说明。一种是将我的 SPF 记录的“?all”部分更改为“-all”以阻止所有其他域为我的域发送电子邮件。在另一封电子邮件中,他解释了我的网站如何能够在 iframe 中显示(启用一种称为“点击劫持”的技术),他还包含了一个代码示例和有关如何防止它的说明。
Mas*_*imo 68
一个真正的“道德黑客”会告诉你他在你的系统中发现了什么问题,而不是要钱;(s) 他可以作为承包商提出修理它,但那是在告诉你实际问题是什么之后;无论如何,这与只是试图吓唬你付钱是完全不同的。
这是简单明了的勒索。
(此外,很可能没有真正的漏洞,有人只是想骗你白白花钱)。
Esa*_*nen 51
虽然这可能是勒索,但也有很多可能是出于真正的善意。因此,这里有一些关于如何处理未经请求的漏洞报告的更全面的想法。简而言之:你有充分的理由保持谨慎,但你不必粗鲁。
道德黑客根据通常具有预定义目标和限制的合同进行分析。这些可能是有序的分配或更松散定义的错误赏金计划,直接或通过像HackerOne这样的平台。无论如何,道德黑客(或白帽黑客)总是有明确的许可。
仅从这个问题中的细节,很难判断您收到的信息是明显的骗局,还是出于善意但缺乏理解的人——或愿意遵守道德标准的人。后一种灰帽子甚至可能触犯法律,但它们并没有恶意。在渗透测试行业也极为时尚,所以有各种自封的渗透测试人员,道德黑客,安全研究员等具有不同的技能(或完全缺乏他们)。在这种情况下,他们可能会从一些温和的指导中受益,而错误的指控可能会将他们引向错误的方向。
我无意中发现了几个漏洞,无意以任何方式戳系统。这些案件通常相当严厉,我在犹豫是完全不举报、匿名举报还是以我的名字举报,这样我就有可能帮助他们解决进一步的问题。实际情况是,由于我没有获得许可,接收方可能会以意想不到的方式解释或处理我的报告,可能会导致我受到法律指控或其他问题。到目前为止,他们一直对我表示同情。
您被要求为调查结果付费,但在不了解细节的情况下,您无法确定它们是否值得付费。漏洞有各种形状和大小。其中一些是关键的,一些是次要的。有些可能从外部看起来也有问题,但与您完全无关,或者在您可接受的风险范围内。根本不能以件、捆、公斤或升为单位出售漏洞。
我最近收到的两个完全毫无价值的报告的例子,都是有真实意图的。
一条消息建议找到受HTTP 基本身份验证保护的网页的奖励,这确实不是一种安全的身份验证方法。但是,由于它只是在实际登录页面之前的额外安全层,并且无论如何都不能保护任何关键系统,因此它根本不是真正的漏洞。因此,该发现对公司的价值为零。
缺少 SPF 记录的报告。解释是正确的,但记录没有丢失!“漏洞赏金猎人”没有从 DNS 查询,而是使用了基于 Web 的 SPF 查找工具,但使用http://example.com了example.com. 由于这个语法错误,它没有显示记录。
因此,为了判断价值,必须披露漏洞的一些细节。如果发现漏洞的人认为提供这些详细信息可能会导致失去奖励,那么该漏洞实际上可能毫无价值:已知、易于使用自动化工具发现、在可接受的风险范围内、太小或不相关。另一方面,如果漏洞很严重,它通常也非常复杂,以致于提供一些概念证明并不能完全帮助修复它。描述和解决漏洞所需的额外工作很有价值,并且会得到报酬。
Jim*_*ran 25
发现安全漏洞的人因发现而获得赏金并不罕见。许多著名的开源项目和网站都有为负责任地披露漏洞支付奖金的政策。我不知道公司在没有提前设置某种赏金计划的情况下支付赏金是多么普遍。
我因报告了一个非常突出的开源 Web 应用程序中的安全漏洞而获得了赏金。这是它在我的情况下的工作方式:
这里的关键点是:
虽然我只有这家供应商的直接经验,但我相信这个过程对大多数人来说是非常典型的。
在你的情况下,我会:
你应该付多少钱?随你(由你决定。就我而言,供应商将该错误评为“严重”,然后对其进行了修补。这可能会导致严重的妥协,但很难做到。我的努力获得的报酬略低于 5000 美元,接近他们网站上引用的范围的上限。
此外,如果他们只是告诉您一些第三方软件中的已知安全漏洞,那可能价值不大。例如,如果您运行的是旧版本的 WordPress 并且该错误是已知的 WordPress 漏洞。
这是黑信吗?
如果他们坚持要求您在支付赏金之前无法获得详细信息。是的。这不是这些程序通常的工作方式,一个适当的道德黑客知道这一点。
这是他说你最好付钱给我的方式,否则我会造成严重破坏吗?
一个适当的道德黑客不会试图造成严重破坏。如果您不付款,他们也不会将漏洞出售给其他人。但这假设您正在与一个合法的道德黑客打交道,而不是一些试图欺骗您或制造麻烦的麻烦制造者。
或者这是一种典型的合法的谋生方式,没有任何恶意?
在我获得赏金后,我进行了数学计算,并认为我有可能以收集赏金为生。有可能的。这是否是你的家伙所做的,谁知道呢。试图从没有正式赏金计划的公司那里收取赏金是一种非常冒险的方式,恕我直言,这对你的家伙不利。
Joh*_*ald 11
是的,这就是敲诈。
负责任的做法是私下通知您。如果一段时间后没有回应,也许会有最终公开的披露政策。
一种更礼貌的做生意方式是暗示如果您通过错误赏金或类似方式提供奖励,您将获得更多报告。但无论如何仍要转发问题详细信息。
考虑聘请安全人员(不是这个“黑客”)来评估您的系统。无论采取何种形式,一次性参与进行安全评估、赏金或迁移到托管平台以将操作外包给其他人。
小智 9
@GlennWillen 的评论一针见血:
即使“漏洞”是真实存在的,您也不应该假设它们是有用的,除非您自己在上下文中理解它们。例如,通过将您的网站嵌入到 iframe 中,是否有任何实际方法可以造成伤害?我一直收到这些垃圾邮件“漏洞”电子邮件,但有问题的站点是一个静态营销页面,没有用户登录功能,因此对其进行点击劫持攻击是不可能的。这些人只是对您的网站运行“漏洞扫描程序”,然后向您要钱。他们实际上并不了解工具的输出。
更直白地说:鉴于“黑客”提到的两个安全问题(SPF ?all 和点击劫持),黑客很可能没有花费任何大量时间或精力专门检查 OP 的站点。
因此,为避免被标记为更具体的定位,OP 不应回复电子邮件。
OP 应该与真正的安全专家一起检查这些问题,但不应与这个“黑客”接触。
作为从事信息安全工作并收到相当多此类报告的人,有几点评论:
您可能还觉得您不关心安全性——假设您知道后果,这完全没问题。由于您经营基于互联网的业务,我认为这不是一个选择。
但是,您可以考虑将您的业务转移到 SaaS 解决方案,如果这是可以想象的并且让其他人担心这些事情(包括安全性)。
漏洞赏金则相反!
它们是如何工作的:
如果他们没有及时做出正确反应,黑客、其他安全专家或相关媒体可能会公开披露漏洞、漏洞赏金计划的失败和/或其他细节。
| 归档时间: |
|
| 查看次数: |
24926 次 |
| 最近记录: |