%20%E7%9A%84%E5%90%88%E6%B3%95%E6%80%A7%20.png)
多年来,我在编程(我的主要职业)和服务器管理方面积累了大量经验,因此在安全实践方面拥有相当不错的经验。我还非常擅长发现软件中的安全漏洞(包括但不限于 SQLi),并建立了一个肯定值得关注的网站列表。
我的问题是,如果我联系这些网站说“我查看了您的网站,它似乎存在漏洞 - 客户数据可能被泄露 - 您希望我修复它吗?”,这样做合法吗?我发现该网站确实存在漏洞,这本身是否可以解释为攻击?如果潜在客户愿意,他们可以就此事将我告上法庭吗?
当我发现一个易受攻击的网站时,我所做的就是确认并记录该漏洞。我这样做不是为了个人利益(修复漏洞能得到报酬就太好了!),只是好奇而已。这是为这类工作寻找客户的可行方法吗,或者你会推荐一种更“合法”的方法吗?
如有任何建议/意见,我们将不胜感激:)
答案1
我永远不会雇用你,在一家中型企业工作的人总是联系我提供服务和销售工具包。安全扫描、软件许可证管理、硬件、托管网络服务等等。但我从不使用那些突然打电话给我并试图获得机会的公司。我只是建议不要这样做。
不过,我会认真对待您的电子邮件,并会联系我自己选择的安全承包商来查看并看看他们是否能发现问题。
即使你说这是“为了个人利益”,我也会怀疑你要么试图获得合同日,要么有其他不对劲的地方。我绝不质疑你的技能,只是这种做法非常可疑。
我甚至怀疑一些公司会将您的电子邮件发送给法律部门,要么试图起诉您,要么甚至可能对您发现的漏洞发出禁言令,以阻止您与任何人分享信息。
底线是,不要这么做。
答案2
从业超过 15 年,我想说的是 - 要非常小心!即使在查看应用程序之前签订了合同,一些公司仍然非常热衷于诉讼。在我接触应用程序之前,我需要了解法律术语,这是令人讨厌但必要的要求。
如果您通过完全被动的活动来识别漏洞,即在尝试“确认”之前,那么从法律角度来看您可能处于相对安全的地方(但我不是律师)。
更成熟的组织确实有报告联系人,您可以通知问题,有些甚至提供赏金(例如谷歌,Facebook等),但大多数都远未达到这个水平。
如果您已采取任何主动措施来确认漏洞,那么从目标的角度来看,您看起来就像一个真正的攻击者,他们很可能有权利使用执法部门和法院来阻止您采取进一步行动。
从获得新工作的角度来看,这也会让你在企业级组织中处于不利地位。你很可能因为没有通过正常的合同和采购程序而被列入他们的黑名单。