Fråga:
Ska jag rapportera en säkerhetsproblem?
Polaris Alderson
2019-11-08 23:12:48 UTC
view on stackexchange narkive permalink

Jag skannade en webbplats med hjälp av en sårbarhetsskanner och den hittade en sårbarhet med en CVV-poäng på 10. Ska jag skicka rapporten till företaget?

Varför skulle du inte rapportera?Vad är källan till din fråga?
Rapportera det i motsats till vad - hacka det?
Som n0ob - Jag tror att alternativet till att rapportera det skulle vara * inte * rapportera det.Denna fråga innebär starkt att skanningen gjordes utan föregående tillstånd från företaget.Jag är inte advokat och säger inte att det är olagligt, men jag skulle vara orolig för konsekvenserna för mig själv.Jag vet faktiskt att min ISP (Xfinity) förbjuder denna aktivitet och förbehåller sig rätten att omedelbart stänga av mitt konto för att bryta mot det.Det finns lokala / statliga lagar som jag kanske inte känner till, och jag vet att företag kan ha ett civilrättsligt krav mot dig på grund av en skanning.
@RobP.Du borde se den ursprungliga frågan ....
Möjlig duplikat av [Hur rapporterar jag sårbarheter utan att betraktas som en hackare?] (Https://security.stackexchange.com/questions/71905/how-to-report-vulnerabilities-without-being-regarded-as-a-hacker)
@ConorMancone Allt jag ser i redigeringarna är "Jag har inte hackat det" - men det spelar mest ingen roll!Som andra svar har påpekat, om du inte hade tillstånd att skanna / testa den webbplatsen, har du förmodligen redan brutit mot lagen.Om företaget är arg på att du kollar på dem kan de potentiellt orsaka verkliga problem för dig.
Tre svar:
Conor Mancone
2019-11-08 23:51:17 UTC
view on stackexchange narkive permalink

Snabbanteckning : det här svaret förutsätter att du har behörighet att köra skannrar mot webbplatsen. Att köra skannrar mot en webbplats är olagligt i alla jurisdiktioner, så om du gör det är mitt enda förslag: "STOP!".

Vad du inte borde göra

Du ska aldrig skicka en sårbarhetsrapport från en skanner till ett företag. 90% av tiden är de värdelösa av sig själva och kommer sannolikt att ignoreras av något kompetent säkerhetsteam. Anledningen är att skannrar kan ha valfritt antal falska positiva, så en positiv från en sårbarhetsskanner betyder inte att det finns en sårbarhet. Det är dock vanligt att nya bug bounty-testare helt enkelt skickar sårbarhetsrapporter från skannrar till företag utan någon förståelse för vad rapporten säger, om den är korrekt eller om den till och med är tillämplig. Som ett resultat ignorerar säkerhetslag ofta bara en rapport som kom direkt från en skanner. De flesta bug bounty-program anger detta specifikt.

Vad du ska göra

I stället bör du ta dig tid att själv skapa en sårbarhetsrapport, vilket innebär att du beskriver sårbarhetens natur, åtgärder de kan vidta för att bekräfta dina resultat, risken som sårbarheten skapar för företaget och eventuellt även åtgärder de kan vidta för att mildra faran. Det är vad du ska skicka till företaget, och att skicka något liknande är nästan alltid en bra idé.

Om det här är ett företag som inte har ett offentligt bug-bounty-program är det ännu mindre troligt att de kan förstå en rapport från en skanner, så det blir så mycket viktigare för dig att ta tiden och ge en faktiskt sårbarhetsrapport som beskriver sårbarheten, påverkan på verksamheten, en uppskattning av hur allvarlig den är och föreslagna åtgärdssteg. Uppenbarligen är det dock inte den situationen du befinner dig i, eftersom det är olagligt att köra automatiska säkerhetsskanningar på en webbplats utan uttryckligt godkännande i de flesta jurisdiktioner och en dålig idé i allmänhet ...

tl / dr:

Ska du skicka resultaten från din skanner till ett företag? Nej , för det är ofta värdelöst. Vad du ska göra är att verifiera att skannern inte rapporterar falskt positivt och sedan skicka en rapport som beskriver sårbarheten, vad de kan göra för att reproducera den, en förklaring av dess inverkan och föreslagna åtgärdssteg. Du ska självklart inte "hacka" in i systemet under några omständigheter.

Jag är en av säkerhetsteammedlemmarna som får slumpmässiga rapporter så här.Jag håller med om att det 90% av tiden är ett falskt positivt skickat av en amature sec forskare som inte har någon aning om vad fyndet betyder.Som sagt, 10% av tiden är det ett verktyg vi inte kör och det är användbart.Dessutom berättar det oss 100% av tiden om PR-påverkan av personer som skannar vår webbplats.Ibland gör vi "onödiga" kodändringar enbart av PR-skäl så att våra kunder blir mindre oroliga när de kör en genomsökning.
@MikeOunsworth Jag gick vidare och uppdaterade min fråga för att bättre betona mitt faktiska förslag, som skickar en detaljerad sårbarhetsrapport istället för en rapport från skannern.Även om organisationen av mitt svar nu återspeglar ditt närmare.:rycka på axlarna:
@user1067003 Jag håller inte riktigt med.Att förvänta sig att skanna webbplatser utan tillstånd skulle vara som att gå på gatan och försöka öppna människors ytterdörrar.Sedan när någon ringer polisen och de dyker upp svarar du med "Jag kollar bara för att folk låser dörrarna" och förväntar sig att polisen ska vara nöjd med det.Det är en hemsk idé.
Det är sant att nuvarande lagar gör det farligt enkelt för missförstånd att leda till kriminella anklagelser för legitima säkerhetsforskare som bara försökte hjälpa.Det skulle vara fantastiskt att fixa det.Men att kunna utföra aktiv penetrationstestning på webbplatser utan tillstånd är inte en rimlig lösning.
"verifiera att skannern inte rapporterar falskt positivt [..] borde inte" hacka "in i systemet".Att inte säga att det är omöjligt att verifiera utan att bryta sig in i systemet, men i många situationer verkar det inte vara lätt att göra.
@Voo som vanligtvis inte är för stort av ett problem.Om du antar att du arbetar med tillstånd eller under ett etablerat bug bounty-program, skulle de extra steg som krävs för att verifiera rapporten inte betraktas som hackning och är bara en del av jobbet.Många gånger är också falska positiva enkla att verifiera som sådana med lite extra ansträngning.
@Conor Men förutsättningen här är att bara kontakta folket * efter * att verifiera att det inte finns någon FP.Visst om du har ett bug-bounty-program eller tillstånd (och egentligen om du inte har någon av dem borde du aldrig ha skannat dem i första hand, vilket gör det här poängen) det är enklare, men då skulle jag tro att det i allmänhet handlar om att kontakta någon.Men säg att du kommer tillbaka att det förmodligen finns en sårbar version av Apache installerad - hur kan du räkna ut om det är korrekt eller inte utan att försöka en sårbarhet?(Servern kan bara konfigureras för att skicka gammal information trots allt)
@user1067003: Vänligen avstå från grovt språk på SE.Det förnedrar oss alla och det är helt onödigt.
@Voo mitt svar är egentligen bara närmar sig detta ur perspektivet av aktivitet med tillstånd eller under en bug bounty.Som jag nämner i mitt svar är det olagligt att skanna webbplatser utan tillstånd, så OP frågade självklart inte om det.Om någon skannade olagligt är det enda rådet jag har att sluta göra det.
@Conor Rättvis poäng, om det bara är från den PoV som är vettigt.
@ConorMancone Vänligen inkludera din senaste kommentar i huvuddelen av frågan, eftersom det är relevant: frågan innebär att OP inte har kontaktat företaget och därför inte har tillstånd.
@jpaugh Jag hade redan nämnt det i mitt svar, även om det uppenbarligen inte var uppenbart nog.Jag har lagt upp en liten uppdatering därefter.
Jag skulle ifrågasätta kompetensen hos alla säkerhetsgrupper som bortser från rapporter om 10.0 CVEs som är offentliga, bara för att reportern är "någon skiddie som använder en skanner".
@jdgregson En CVE är inte något som en "skiddie" skulle ha tillgång till.Enligt vad jag har hört måste du i princip känna rätt person för att få en ny CVE tilldelad en sårbarhet när du har upptäckt det.
@jpaugh Jag tror att vi i det här sammanhanget talar om kända vulns som råkar vara CVE 10. Till exempel att hitta en server som fortfarande är sårbar för Heartbleed.En skanner skulle inte skanna i -1 dagar till att börja med.
@jdgregson Du menar att varje vanlig sårbarhet har sin egen CVE?Jag trodde att de bara gällde specifika buggar med specifik programvara.Det finns ett antal olika sätt att skapa och distribuera en webbplats felaktigt (som jag förväntar mig att en skanner kommer att fånga);men jag är förvånad över att höra att alla dessa också skulle ha CVE.
@jdgregson Nu när du nämner det var CVV * förmodligen * ett skrivfel.Jag hörde CVSS, medan du självklart hörde CVE.Båda är bra gissningar ...
Gaius
2019-11-09 17:42:38 UTC
view on stackexchange narkive permalink

Regel en om sårbarhetsskanning eller annan aktivitet som eventuellt kan tolkas som fientlig: få först skriftligt tillstånd som undertecknats av ledningen. En oönskad "sårbarhetsskanning" kan inte skiljas från ett hackningsförsök - och om du använde ett vanligt verktyg och de har någon smart övervakning pågår kommer de att ha upptäckt den genomsökningen och loggat din IP-adress. Och en dåligt formulerad rapport om en sårbarhet som du har upptäckt skiljer sig inte från ett hot. Om du har tur kan förekomsten av ett vanligt fel på deras webbplats innebära att de inte har bra övervakning. Det är dock troligt att ett sådant företag mer kommer att ringa polisen om de tror, ​​hur fel som helst, att du hotar att hacka dem.

Tänk på det här: en slumpmässig främling säger en dag att du lämnade dina fönster olåsta. Han eller hon svär att de inte gick in i ditt hus. Skulle du vara tacksam eller undrar du varför den här personen testade dina fönster?

Det är sorgligt att säga, men detta är verkligheten i världen idag - ditt mest förnuftiga alternativ är att göra ingenting. Tänk på att du har lärt dig något om sårbarhetsskanning idag och fortsätt.

+1 för det enda svaret som ifrågasätter skanningen.
+1 till detta.Jag känner någon som körde en sårbarhetsskanner mot en liten webbplats bara för att se vad som skulle hända och det förstörde webbplatsen.Det hittade en hel massa sårbarheter men förstörde också databasen och webbplatsen skulle inte laddas längre.Var väldigt, väldigt försiktig.Ingen ska köra sårbarhetsskanningar utan tillstånd.
Ytterligare +1.Varje gång jag läser om någon som kör en sårbarhetssökning på någon webbplats (som inte ägs av den personen), tycker det mig varför i helvete tror de ens att de har rätt att göra det.Det är som att använda en kofot på någons ytterdörr bara för att verifiera om det är inbrottsbeständigt.Visst skulle ingen ha tanken att detta är legitimt i den verkliga världen.
Ja, det är alldeles för riskabelt att rapportera det.Fråga bara [en av författarna till den berömda boken * Programming Perl *] (https://en.wikipedia.org/wiki/Randal_L._Schwartz#Intel_case).
* Skulle du vara tacksam eller skulle du undra varför personen försökte dina fönster? * - svaret säger förmodligen mycket om lokal kultur.
Mike Ounsworth
2019-11-08 23:52:16 UTC
view on stackexchange narkive permalink

Vill du vara vit eller svart? Svaret kan också bero på vilka lagar som gäller baserat på vilket land du befinner dig i, vilket land företaget befinner sig i.

Saker som alltid är ok

Använd en ansvarsfull avslöjandeprocess för att avslöja upptäckten till företaget.

Se om företaget har en sårbarhetsrapporteringsprocess. Ett bra ställe att börja är att se om de har en https://company.com/.well-known/security.txt . Om inte, sök sedan runt och se om de har en säkerhets-e-postadress för att rapportera saker som detta.

Ett annat alternativ om du inte kan eller inte vill hantera företaget direkt är att rapportera via en mellanman som US Cert.

Det bör också anges här att om du vill att företaget ska ta dig på allvar måste du tydligt beskriva problemet, steg för att reproducera, beskriv hur genomgripande det är i deras applikation, vilken skada och angripare kan orsaka med det och vad de ska göra för att åtgärda det. Om du bara skickar rapporten från en skanner kommer de troligen att ignorera dig, eller värre skicka en advokat efter dig (se nedan).

Saker som ibland är ok

Ibland är det ok att publicera resultatet utan att informera företaget (till exempel genom att lämna in en CVE, eller skriva ett blogginlägg, github repo).

Beroende på typ och svårighetsgrad av sårbarheten kan detta sluta göra mer skada än nytta om människor hackas innan företaget har tid att fixa det.

"Saker som ibland är ok" kan inkludera att köra skannern i första hand. Om du inte anställs för att göra det eller om det finns ett bug-bounty-program kan det tolkas som ett hackningsförsök. (Tack @EsaJokinen). En snabb google-sökning visar att när du gör "säkerhetsundersökningar" utan tillstånd får du lika sannolikt ledning till fängelsetid som att få ett tack:

Slå någon annans webbplats med en säkerhetsskanner kan hamna i stora problem, så se till att du förstår de juridiska konsekvenserna innan du gör det!

Saker som aldrig är ok

Hacka webbplatsen själv.

Detta är utan tvekan olagligt i alla länder som har lagar om detta.

Var mycket försiktig med att använda detta tillvägagångssätt eftersom du kan förlora mycket, och jag är inte säker på att du får något minst ur ett perspektiv med vit hatt).

Det här är första gången jag hört talas om US Cert.Om du har tid, skulle du ha något emot att gå med mig i chatt så att jag kan ställa en fråga om det?Uppenbarligen ingen stor sak om du inte kan
@ConorMancone Vilken chattkanal?Jag vet inte massor om US CERT, förutom att de kommer att fungera som mellanhand där en forskare är för liten för att bli märkt, vill behålla anonymitet, eller forskaren känner att de kommer att skrämmas lagligt av säljaren.Från den länkade webbplatsen: _ "CISA kommer att försöka samordna alla rapporterade cyberproblem med den drabbade leverantören av industriella styrsystem eller informationsteknologiprodukter." _
Det finns en lokal app här som har några svåra svagheter.Jag hittade dem utan att ens göra någon verklig penetrationstest - deras applikation har faktiskt noll säkerhet alls.Det är ett litet system, men har förmodligen några tusen användare (med lösenord) i en databas som är öppen för enkel SQLi.Jag skickade en fullständig rapport till säljaren men ignorerades helt (kontaktades via flera kanaler).De kan ta det mer på allvar om någon annan än en anonym person kontaktade dem.
Så i princip undrade jag om US Cert kan vara den typ av organisation som skulle engagera sig i något så litet, eller om de var mer intresserade av "betydande" hot.Om du inte är säker på det, då ska jag google eller kanske bara kontakta dem ändå
"Saker som ibland är ok" kan inkludera att köra skannern i första hand.Om du inte anställs för att göra det eller om det finns ett bug bounty-program kan det tolkas som ett hackningsförsök.
Det här är första gången jag hört talas om `. Välkänd`.Ironiskt, eller hur?
Tack @EsaJokinen!Jag har lånat det till mitt svar!
@ConorMancone den nationella CERT * kommer * att bry sig om det, tillräckligt för att vidarebefordra rapporten till rätt mottagare.Om det inte var ett amerikanskt företag skulle jag rekommendera att du kontaktar respektive nationella CERT (du hittar de flesta på [FIRST] (https://www.first.org/members/teams/), men andraän det, en fungerande CERT som får en ordentlig rapport för ett företag under deras valkrets, _will_ (försöker) rapportera det till den drabbade parten.Det är deras jobb!


Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 4.0-licensen som det distribueras under.
Loading...