題:
如何處理聲稱存在漏洞的白帽黑客?
Vcode
2019-02-14 01:59:04 UTC
view on stackexchange narkive permalink

我是一家小公司的安全成員,最近有人聲稱自己是防黑客成員與之聯繫。他們正在報告我們的網站被googlebot編入索引(元數據,薄頁面內容,錨文本問題)和一個XSS漏洞。

我們還沒有任何關於VDP(漏洞披露政策)的法律聲明。

我的問題:

  1. 基本上如何繼續,還是應該? (他們合法嗎?)
  2. 白人黑客的普遍期望是什麼?
  3. 如何驗證漏洞?
    4. ol>
根據https://hackenproof.com/#how-it-“漏洞是通過我們的協調平台提交和管理的。”您確定自己沒有通過hackenproof與您聯繫嗎?他們的整個業務模型是為像您這樣的公司創建bug賞金計劃,而這些公司實際上並不注重安全性。他們的“成員”只是為了爭奪漏洞賞金而競爭,他們自己不會與公司聯繫。如果不是公司,那麼有人似乎是在進行社交工程
您至少可以做的是,通知您公司的安全負責人,您已經與之聯繫並得知了xss漏洞。關於不洩露信息的部分是常識。
似乎非常類似於[this](https://security.stackexchange.com/q/178076/168620)
可能相關:[我們的辦公室著火了。我們還沒有火災響應政策。我們應該留在原地,還是匆忙寫一個,顯然不盡人意?] [
請注意,根據GDPR,您需要在數據洩露後72小時內通知相關當局。如果您沒有任何歐盟客戶,則可能不適用於您,但是如果您沒有,則希望昨天開始。
@Harper比較不好,我想我的問題很清楚,即如何對舉報人做出回應,以及應該考慮哪些方面來確保舉報人/漏洞合法。
無論您做什麼,都不要[拉一個Oracle](https://web.archive.org/web/20150811052336/https://blogs.oracle.com/maryanndavidson/entry/no_you_really_can_t)並嘗試起訴白色帽子。
當您說“聯繫”時,您的意思是“通過電子郵件發送”?“元數據,薄頁面內容,錨文本問題”-這是引起我警鐘並尖叫_spammer_的部分,試圖獲得業務/金錢。為什麼會提出與主要安全問題無關的“潛在”問題(除非沒有“主要安全問題”,它們實際上只是想在您的網站上工作)?
除非公司發現@Cubic XSS漏洞不是用來破壞某些東西的,否則它不是數據洩露。從您了解到該違規行為還需要72小時,而不是某個隨便的傢伙說有一個。
五 答案:
Buffalo5ix
2019-02-14 03:19:05 UTC
view on stackexchange narkive permalink

回答每個問題:

1。基本上,該如何進行甚至應該進行?

我建議您繼續。您將能夠獲取有價值的信息,這些信息可立即用於改善公司的安全性。您沒有告訴我們研究人員向您發送了什麼,但是他們將對漏洞進行描述或複制該漏洞的方法。要繼續,您將需要它們:

  • 所發現漏洞的描述/攻擊情形。為什麼會出現此問題?該錯誤具體允許攻擊者執行他們不應該做的事情,最壞的情況/發現的嚴重程度是什麼?

  • 複製步驟。您可以給任何工程師採取什麼步驟,並允許他們每次重現該錯誤。

  • 黑客正在尋找什麼。如前所述,可能會允許在修復或付款後發布調查結果。

  • 您可能還需要或從研究人員那裡獲得補救建議,風險評分等。

非常重要:向研究人員明確表示您希望他們在解決問題之前對問題保持機密。他們可能會採取補救措施,例如如果問題在60天內未得到解決,他們就可以發表文章。這是常見的做法,對於大多數具有強大安全性的公司來說應該可以接受。

2。白人(帽子)黑客的普遍期望是什麼?

取決於研究人員,但是一旦發現問題得到固定以及金錢獎勵,他們可能會希望獲得許可才能發布。獎勵價格基於獎勵計劃的總體嚴重性和規模。 Hackerone是一個大型的漏洞賞金平台,它的矩陣建議相對於公司/賞金計劃的規模進行支付: https://www.hackerone.com/resources/bug-bounty-basics。確定支付價格是一種微妙的技巧-我建議在hackerone或其他漏洞賞金平台上搜索類似的錯誤,並根據其他公司為同一問題支付的費用為基礎。

同樣-研究人員的普遍期望他們可以在一定時間內發布發現,而不管當時是否已修復。通常有60天的時間,但是如果您不確定您的公司可以在那個窗口內交付,我不會同意一定的時間。修復此問題後,黑客可能希望驗證該修復程序是否正確實施。

3。如何驗證?

使用黑客給您的複制步驟。他們應該足夠清楚,以使任何工程師都可以完全按照步驟操作並重現該錯誤。如果這裡有任何問題,您可以返回研究人員並進行澄清。研究人員有責任向公司提供概述和識別錯誤的複制步驟。

問題解決後,您可以邀請研究人員驗證此修復程序並確保已對其進行完全修補。

該報告是關於XSS的,並包含修復和復制部分。這是一個彈出窗口,他們聲稱攻擊者可以代表受害者執行預先的網絡釣魚攻擊,執行未經授權的支付交易或執行任意操作。
感謝您提供的上下文!XSS的嚴重性可能有所不同,如果他們能夠像他們所說的那樣真正執行未經授權的支付交易,那麼這肯定是一個關鍵問題。當然,請確保驗證此聲明!在不知道您的公司或安全團隊有多大的情況下,很難說出數字-我認為少於3,000美元的任何東西都是非常低的支出**假設您可以真正利用此XSS來浪費資金。否則,請弄清楚此攻擊最糟糕的事情是什麼,對於XSS,通常在$ 500- $ 3000之間。
+1,很好的答案。一個小批判。除非已經建立了賞金漏洞,否則即使您有要求,我也不認為您應該支付賞金。這將關係從社會契約轉變為市場契約。社會合同通常比市場合同提供更多的價值,並且對於較小的公司而言效果很好,因為社會合同比大公司更容易維護社會合同。如果您將其轉化為金錢,那完全是另一回事。在應得的信用額上給予信用更符合社會契約。
好點@SteveSether,絕對值得考慮。冒著將這個評論線索變成廣泛討論的風險:我個人主張為發現而付款,以便在bug出現時使研究人員安心。沒錯,把錢混進去混濁了,但我認為這是與研究人員建立良好意願並為他們提供在實施修復之前保持機密的理由的必要邪惡。
@Buffalo5ix,我認為問題是您的答案將其視為期望。就個人而言,如果沒有建立任何漏洞賞金計劃,我希望該漏洞能夠得到及時修復,並且可以發布。我不期望有錢(而且出於道德和法律方面的考慮,我當然也不會要求錢)。我將其設計為可用於建立良好意願的可選動作,而不是需要滿足的期望。
我怎麼可能聲稱自己能夠執行未經授權的付款交易而不會成為可證明地犯下長達10年監禁的重罪的罪犯呢?作為罪犯,您如何信任我?
@Damon意識到網站(甚至是能夠啟動付款交易的網站)中的漏洞並不是犯罪。您不需要實際進行攻擊就可以知道。
通過@Damon來完成所有步驟,除了實際執行最終交易外,這樣您現在就可以有把握地知道*如果您按了按鈕*交易將會完成。當然,由於您的目標只是看在沒有實際進行攻擊的情況下是否可能進行攻擊,因此您不是犯罪分子。您正在對網站進行錯誤測試,以提醒所有者。
@SteveSether答案的確希望錯誤報告者投入大量時間和精力。當然,有些人這樣做只是為了獲得認可,但是如果您希望他們對此採取專業態度,那麼公司也採取專業態度是很公平的。與其他分包的專業工作一樣,這些工作也應獲得報酬,以換取專業知識和時間。
-1
@SteveSether我並不不同意人們可能只是為了娛樂而這樣做,但是公司願意為他們付出的努力付出報酬,這標誌著公司如何看待這種努力。如果白帽子選擇將其捐贈給慈善機構或拒絕,那就很好。但是,這成為白帽子的一種選擇,而不是公司只是假設他們將以零回報的方式投入所有這些工作。
-1
@SteveSether它們更有價值嗎?他們可以建立意識,當然,但是意識並不等於價值,正如2000年代初期互聯網上的每個人都能告訴您的那樣。而且,如果您想給人們吹牛的權利,則需要宣傳他們的所作所為。對於一家小型公司而言,這種史詩般的失敗,如果該公司上市,則是舉杯同樂。如果他們發現了真正的傷痕,請向他們付款並向NDA支付費用。
Steve Sether
2019-02-14 02:50:35 UTC
view on stackexchange narkive permalink

Hackenproof似乎是任何人都可以註冊的網站,因此說您是Hackproof的成員就等於說您是Facebook的成員。這不是排他的黑客團體。

沒有正式的標準方法來處理這種情況,因為您的公司,您的業務,錯誤和白帽子都會有很大的不同。一種尺寸並不適合所有尺寸。

通常,建議謹慎但要好奇。要小心,但不要偏執和鬥氣。不要給白帽子提供任何內部信息,而是要盡可能多地先獲取盡可能多的信息,而很少或什麼都不透露。這些人中的許多人喜歡交談以展示自己的專業知識。讓他們這樣做。如果信息僅以一種方式流動,則危害很小。向他/她詢問源代碼或問題的詳細描述。然後分析代碼/描述並編寫您自己的漏洞利用程序(並且不要編譯或運行白帽代碼),針對測試實例運行它,最好與其他任何環境隔離。

就各方的責任而言,如今大多數自稱是白帽黑客的人將實行負責任的披露,直到將其修復後才向公眾發布該錯誤。您的責任是在合理的時間內(數週,而不是數年)修復該錯誤(如果足夠嚴重)。如果您的公司提供賞金,如果漏洞符合條件,則應向他們付款。如果不是這樣,白帽子應該接受他們可能不會付給他們的報酬,但是您必須接受如果沒有在合理的時間內修復錯誤,他們可能會將錯誤發布給公眾。

“嘗試先獲取盡可能多的信息,而很少或什麼都不披露。”執行此操作的簡單方法:“感謝提醒我們!您能否提供複製步驟?”什麼都不顯示,什麼也不承諾,要求您提供所有需要的信息。除非絕對必要,否則我什至不會要求源代碼,因為您不想執行它。
@jpmc26我認為詢問源代碼會將偽裝者和探查者與真正的白帽子區分開。有些人可能只是在浪費您的時間,而源代碼則落空了。
我可以肯定地說,如果他們沒有真正發現漏洞,提供合法的步驟進行複制同樣會很困難。如果它真的足夠複雜,需要源代碼,那麼合法的人可能只是在要求步驟時才提供它,或者至少願意提供它。
Mike Ounsworth
2019-02-14 02:52:26 UTC
view on stackexchange narkive permalink

我不知道這裡有任何嚴格的規則。讓我們將其視為博弈論:

研究人員想要的東西

通常:

  • 發現的公共信譽,例如CVE或研究論文。
  • 有時會以賞金的形式獲得金錢。

您想要的東西

通常:

  • 不要被公開羞辱。
  • 要提高產品的安全性。

如何進行

從博弈論出發角度來看,雙贏的局面是讓他們向您披露詳細信息,讓您解決問題,並讓他們贏得公眾的信任。您應該與研究人員打個電話,並要求進行演示-您會收穫很多,卻一無所獲。請注意,在願意向您顯示詳細信息之前,研究人員可能需要NDA或其他法律合同,以確保最終獲得信譽。

ANone
2019-02-15 17:03:18 UTC
view on stackexchange narkive permalink

我可能要注意,他們對此也可能很陌生,有很多“專家”,如果這是您謀生的方式,您可能會有一個過程,但這通常需要與公司達成某種協議。 >開始之前。但是即使這樣,公司和工作的種類也會有所不同。

儘管如此,對我來說,這聽起來還是一個狂熱者。我真的懷疑與這個傢伙說話會不會有任何損失。他可能有不切實際的期望,但您會失去什麼? ”,“我們可以快速聊一聊您系統的一些實現細節嗎?”您可能應該對 even strike>說不,尤其是當他們提供胡蘿蔔的時候。

thomasrutter
2019-02-18 07:12:07 UTC
view on stackexchange narkive permalink

要回應某人在評論中所說的話,嘗試排除欺詐或勒索是一件公平的事情。這裡有一些需要考慮的事情。

  • 是否有提及付款的信息,甚至是某種“管理費”?假設您沒有預先存在的漏洞賞金,那麼合法的研究人員就不可能要求金錢-他們想要修復該漏洞並希望獲得發現該漏洞的能力。索要金錢可能被視為敲詐勒索,或至多是不道德的。

  • 重現模糊的步驟是否足以使您無法重現?讓您的工程師及早調查他們,以確切了解您所擁有的內容,並確認是否存在漏洞,即使漏洞很小。即使您遵循通常的做法,他們還是不願透露細節嗎?無論您做什麼,該漏洞仍然模糊且未經確認,您可能未在處理合法報告。

  • 他們似乎過分渴望了解有關您軟件的信息嗎?

  • 如果該人聲稱代表某個團體,您可以驗證他們的實際身份嗎?

通常的處理方法是向記者保證您已致力於修復該錯誤,並給出了發送此修復程序的時間範圍(他們可能已經指定了他們想要的時間範圍,但如果這樣做似乎不合理, ,進行協商),然後就可以發布。或者,看看是否可以在以後要求寬限期,以防他們重新測試並發現該漏洞仍然以某種形式存在。

以金錢獎勵是有點道德上的難題,一方面獎勵是很好的,但是另一方面,如果您沒有漏洞賞金,則可能會鼓勵您發現漏洞並期望獲得收益,這很接近黑帽的行為。再次提醒您,即使他們確實打算捐出一些錢,如果他們首先提出錢的問題,請多加註意。但是,如果您這樣做了,那麼如果您建立某種形式的正式的賞金計劃,對所有人都將是更好的選擇。



該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 4.0許可。
Loading...