我在家经营一家小型互联网企业并以此为生来养家糊口,但我仍然是一个单人秀,网络安全远非我的专业领域。
昨天我收到两封电子邮件,发件人自称是“道德黑客”,他指出我的系统中存在两个漏洞,可能会被黑客利用。我相信他。
问题是,他在每封电子邮件的末尾都说他“希望得到赏金”。这是勒索邮件吗?这是他在说你最好付钱给我,否则我就要大肆破坏吗?还是这是人们谋生的典型合法方法,没有任何邪恶的意图?
编辑: 进一步说明:他给了我两个漏洞示例,并附上了屏幕截图和关于如何修复这些漏洞的清晰说明。一个是将我的 SPF 记录中的“?all”部分更改为“-all”,以阻止所有其他域向我的域发送电子邮件。在另一封电子邮件中,他解释了我的网站如何显示在 iframe 内(启用一种称为“点击劫持”的技术),他还提供了一个代码示例和关于如何防止这种情况的说明。
答案1
真正的“道德黑客”会告诉你他/她在你的系统中发现了什么问题,而不是为此要钱;他/她可以作为承包商提出修复它,但那将是后告诉您实际问题是什么;无论如何,这与仅仅试图吓唬您付款是完全不同的。
这纯粹是敲诈勒索。
(此外,也有可能根本不存在真正的漏洞,而有人只是想骗你无缘无故地付钱)。
答案2
虽然这可能被勒索,但真诚的善意也有很多可能性。因此,这里有一些关于如何处理未经请求的漏洞报告的更全面的想法。简而言之:你完全有理由保持谨慎,但你不必粗鲁无礼。
谁可能发现漏洞以及为什么?
道德黑客根据合同进行分析,合同通常包含预先定义的目标和限制。这些可能是有序的任务或定义较松散的漏洞赏金计划,可以直接或通过类似黑客一号无论如何,道德黑客(或白帽黑客) 始终具有明确的权限。
仅从这个问题的细节来看,很难判断你收到的信息是明显的骗局,还是善意但缺乏理解的人——或者愿意遵守道德标准的人。后者灰帽子甚至可能违反法律,但他们没有恶意。渗透测试行业也非常流行,所以有各种各样的自封的渗透测试人员,道德黑客,安全研究人员等等,技能各异(或完全缺乏技能)。在这种情况下,他们可能会从一些温和的指导中受益,而错误的指控可能会将他们引向错误的方向。
我无意中发现了几个漏洞,但无意以任何方式攻击系统。这些情况通常相当严重,我确实犹豫不决是否要报告,匿名报告,还是以我的名字报告,这样我才有可能帮助他们解决进一步的问题。现实情况是,由于我没有获得许可,接收者可能会以意想不到的方式解释或处理我的报告,可能会导致我受到法律指控或其他问题。到目前为止,他们一直同情我。
这些发现对你有帮助吗?
你被要求为调查结果付费,但如果不了解详情,你根本无法确定这些结果是否值得付费。漏洞有各种各样的形式和大小。有些漏洞至关重要,有些漏洞则微不足道。有些漏洞从外部看似乎有问题,但与你完全无关,或者在你可接受的风险范围内。漏洞不可能按件、包、公斤或升来出售。
最近我收到了两份完全没有价值的报道,但两份报道都是出于善意。
一条消息建议对找到受保护的网页给予奖励HTTP 基本身份验证,这确实不是一种安全的身份验证方法。但是,由于它只是实际登录页面前的额外安全层,并且无论如何都不会保护任何关键系统,因此它实际上根本不是一个漏洞。因此,这一发现对公司来说毫无价值。
报告缺失 SPF 记录。解释完全正确,但记录并没有缺失!“漏洞赏金猎人”没有从 DNS 查询,而是使用了基于 Web 的 SPF 查找工具,但使用了
http://example.com。example.com由于这个语法错误,它没有显示记录。
因此,为了判断价值,必须披露漏洞的一些细节。如果发现漏洞的人认为泄露这些细节可能会导致失去奖励,那么这个漏洞实际上可能毫无价值:已知、容易用自动化工具发现、在可接受的风险范围内、太小或无关紧要。另一方面,如果漏洞很严重,它通常也非常复杂,以至于泄露一些概念验证无法完全帮助修复漏洞。描述和解决漏洞所需的额外工作很有价值,并且会得到报酬。
答案3
发现安全漏洞的人获得赏金并不罕见。许多著名的开源项目和网站都有支付赏金以负责任地披露漏洞的政策。不过,我不知道公司在没有事先设立某种赏金计划的情况下支付赏金的情况有多普遍。
我因报告一个非常著名的开源 Web 应用程序中的安全漏洞而获得了一笔赏金。以下是在我的案例中它是如何运作的:
- 我通过开发团队首选的报告方式向他们报告了这个漏洞,并表示如果这个漏洞有资格获得赏金我会感兴趣(他们有一个公共漏洞赏金计划)。
- 在团队发现并修补该问题时,我对该漏洞保密。
- 当补丁发布时,他们通知我,我的报告确实有资格获得赏金,并告知他们愿意支付多少赏金。
- 此时,我可以自由地公开讨论我的弱点(尽管我选择不这样做)。
这里的关键点是:
- 报告是在我收到付款之前没有扣留任何详细信息以勒索赎金的情况下完成的。
- 在供应商修复该漏洞之前,其详细信息不会公开。
- 如果我报告的问题实际上不是一个安全漏洞,我就不会得到报酬。
- 供应商决定漏洞的价值。他们确实有一份公开的表格,“X 类型的漏洞将获得最高 Y 美元的赔偿”,在他们的网站上。
虽然我只与这一家供应商有直接合作,但我相信这个过程对于大多数人来说都很典型。
在你的情况下我会:
- 坚持负责任地披露漏洞。即直接向您披露,而您的“黑客”不以任何形式公开或半公开披露。您希望比其他人更早知道这一点,这是您付费的目的之一。如果您的黑客公开发布此信息,或与他的伙伴谈论此信息,那么就没有任何交易可言。
- 坚持让安全专家验证漏洞的详细信息。鉴于你说你是一个没有太多安全专业知识的人,这可能意味着要雇佣一个合同工来帮助你。
- 如果你的专家同意这是一个安全问题,他们将能够告诉你它的严重性,并且你可以决定它的价值。
你应该付多少钱?这取决于你。就我的情况而言,供应商将该漏洞评为“批判的”然后它就被修补了。这可能会导致严重的危害,但很难做到。我为此付出的努力得到了不到 5000 美元的报酬,这接近他们网站上报价的最高水平。
此外,如果他们只是告诉您一些第三方软件中已知的安全漏洞,那么这可能就没什么价值了。例如,如果您运行的是旧版本的 WordPress,而该漏洞是已知的 WordPress 漏洞。
这是黑邮件吗?
如果他们坚持要求你在支付赏金之前不获得详细信息。是的。这些程序通常不是这样工作的,一个真正的道德黑客知道这一点。
这是他在说你最好付钱给我,否则我就会制造混乱吗?
一个真正的道德黑客不会试图制造混乱。如果你不付钱,他们也不会把漏洞卖给别人。但这假设你面对的是一个合法的道德黑客,而不是试图欺骗你或制造麻烦的麻烦制造者。
或者这是人们谋生的典型合法方式,且不带有任何邪恶意图?
在我获得赏金后,我做了计算,发现我可能靠收集赏金谋生。这是有可能的。至于你的人是不是在这么做,谁知道呢。不过,试图从没有正式赏金计划的公司收取赏金是一种相当冒险的做法,在我看来这对你的人不利。
答案4
@GlennWillen 的评论一针见血:
即使“漏洞”是真实存在的,除非您自己了解其具体情况,否则您不应认为它们有用。例如,将您的网站嵌入 iframe 中是否有造成危害的实际方法?我经常收到这些垃圾“漏洞”电子邮件,但所讨论的网站是一个静态营销页面,没有用户登录功能,因此不可能对其进行点击劫持攻击。这些人只是对您的网站运行“漏洞扫描程序”,然后向您索要钱财。他们实际上并不了解这些工具的输出。
说得更直白一点:鉴于“黑客”提到的两个安全问题(SPF ?all 和点击劫持),黑客很可能没有花费太多的时间和精力具体来说检查 OP 的站点。
因此,为了避免被标记为更具体的目标,OP 不应该回复电子邮件。
OP 应该与真正的安全专家一起检查这些问题,但不应该与这个“黑客”交往。