服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 安全缺陷 – 报告?
Intereting Posts
如何找出一个程序在Linux中使用的端口? 将文件复制到隐藏文件夹中 如何强制Windows访问共享时提示凭据 在Linux中是否有一个相当于tail -f的头? 小型Web服务器硬件 Postfix / spamassassin传入邮件不被过滤,但传出是 跨平台作业/任务调度程序 samba将用户视为其他用户或忽略组权限 保护/ var / www 不能做英特尔HDA声卡的XEN pci passthrough(但在KVM中工作) 重新启动后NFS服务器不能共享 如何强制Novell客户端访问特定IP接口上的NDS树 Debian Squeeze开发箱无法连接到互联网,本地networking无法正常工作 mysqldump在shell脚本中提示input密码 从另一个从设备创build一个MySQL从设备,但将其指向主设备

安全缺陷 – 报告?

这可能是一个社区维基,我不确定。

想象一下,在浏览网页时,您发现公司网站的安全漏洞。 例如,涉及向您发布信息的URL参数更改的内容,例如,您不应该访问此信息。 通过改变这些领域,你有罪“黑客”? 如果是这样,你是否应该向公司报告安全漏洞,或者如果你承认自己的“内疚”,是否有法律上的反感?

澄清要求:这是所有外部面向,完全可访问的.NET页面,接受variables时可能会有意想不到的结果。

第二编辑:要清楚这不是我工作的公司,而是互联网上的另一个网站,我没有任何关系。

这里有一些常识性的指导方针,当泄露漏洞避免麻烦:

  1. 使用私人频道。 没有一家公司喜欢在新闻网站上指出他们的安全漏洞。 在发布“完全披露”之前,您最好有丰富的经验。
  2. 永远不会威胁或要求披露漏洞。 除了粗鲁之外,你可能会发现自己面临着合法的射击队。 威胁包括“如果你不解决这个问题,我会把它张贴在网上”,勒索包括“我想要钱来帮助你解决这个问题”。 只是不要这样做。
  3. 使沟通正式和可追溯。 如果通讯来自您所控制的公司或类似公司,则为最佳。 如果他们认定你是一个邪恶的海克斯,那么这也提供了一层保护。
  4. 与合适的人沟通。 你不想和一线支持,也不是首席执行官。 通过一点努力,你可以经常find正确的部门。 在最坏的情况下,在一家大公司寻找CISO或CERT。 没有人喜欢公司的负责人冲进办公室,要求知道为什么这个危险的SEE-KU-L的东西不固定。

有关更为正式的指导方针,您可以参阅CCSS论坛和OIS 安全漏洞报告和响应指南 。 您主要对我相信的“发现”和“通知”步骤感兴趣。

没有一个理智的公司会导致你在私下里报告一个漏洞。 让地狱的法律猎犬损失了很多钱。 但是,如果他们认为这是敲诈勒索,或者为了羞辱他们,他们可能会决定引入法律团队来对付你。

警报:一些刻板印象可能会或可能不准确。

上述公司是否有一个庞大的法律团队,或者说已经有15年以上的历史了? 如果是,那么不要打扰。 你的善意披露可能会被视为黑客攻击,他们不会有任何疑虑就将你的法律团队释放。

另一方面,如果公司是新鲜的,如果被认为对社交媒体的理解很好,并且普遍支持客户开放,那么是的。