这可能是一个社区维基,我不确定。
想象一下这样一个场景:您在浏览网页时发现一家公司的网站存在安全漏洞。例如,URL 参数的更改会泄露您原本无权访问的信息。更改这些字段是否意味着您犯了“黑客行为”?如果是,您是否应该向该公司报告该安全漏洞,或者您是否有理由担心如果您承认自己的“罪行”会招致法律制裁?
按要求澄清:这些都是面向外部的、完全可访问的 .NET 页面,它们接受的变量在修改时可能会产生意外结果。
第二次编辑:需要说明的是,这不是我工作的公司,而是与我没有关系的另一个互联网网站。
答案1
以下是披露漏洞时避免麻烦的一些常识性准则:
- 使用私人渠道。没有公司喜欢在新闻网站上指出他们的安全漏洞。在发布全面披露之前,你最好有丰富的经验。
- 披露漏洞时,永远不要威胁或要求。除了粗鲁无礼之外,您还可能面临法律制裁。威胁包括“如果您不修复此问题,我将将其发布到网上”,勒索包括“我想要钱来帮助您修复此问题”。别这么做。
- 使通信正式且可追溯。最佳方式是通信来自您控制的公司或类似公司。如果他们认定您是邪恶的 Haxxor,这也提供了一层保护。
- 与合适的人沟通。您不想与一线支持人员或首席执行官交谈。只要稍加努力,您通常就能找到正确的部门。在最坏的情况下,在大型公司中寻找 CISO 或 CERT。没有人喜欢公司负责人冲进办公室,要求知道为什么这个危险的 SEE-KU-L 问题没有得到解决。
有关更正式的指导方针,你可以看看CCSS 论坛和 OIS安全漏洞报告与响应指南我相信您主要对“发现”和“通知”步骤感兴趣。
没有哪个理智的公司会因为您私下报告漏洞而给您找麻烦。让法律追捕者蒙受损失会花费很多钱。但是,如果他们将其解释为敲诈勒索,或者您特意羞辱他们,他们可能会决定聘请法律团队来处理您。
答案2
警告:下面提出的一些刻板印象可能是准确的,也可能不准确。
该公司是否拥有庞大的法律团队,或者该公司是否已经存在了 15 年以上?如果是,那就别费心了。你的善意披露将要很可能会被视为黑客行为,而且他们会毫不犹豫地派出他们的法律团队来起诉你。
另一方面,如果该公司是新公司,如果它被认为很了解社交媒体之类的事情,并且通常对客户表示支持和开放,那么就去做吧。