Che cosa sta cercando di fare questo utente?

5

Lavoro con un'azienda che crea software di marketing, di recente abbiamo creato un forum in modo da poter parlare con utenti che hanno bisogno di supporto.

Sono l'amministratore principale di questo forum e un utente, chiamiamoli person1 , ha cercato di eseguire codice PHP nei commenti. Inizialmente pensavo che forse si stesse riferendo alla domanda, ma i loro commenti iniziarono a essere contrassegnati come spam e necessitavano di revisione. Dopo una manciata di commenti, ho deciso di eseguirne l'IP.

Avanti veloce un mese o giù di lì, e ora qualcuno ha compilato tutti i moduli sul nostro sito, nella slot del nome hanno usato lo stesso username person1 , ma ora stanno provando ad aggiungere il codice html negli input. Ogni invio di moduli viene inviato per e-mail e mostra che è stato in grado di eseguire un tag immagine e un tag nel campo. Le immagini non erano dannose o altro, solo immagini di gatti, ma i collegamenti erano cose come http://www.phishing-site.com e http://www.evil.com . Inoltre, hanno provato a eseguire alcune istruzioni SQL nella speranza di eliminare il nostro DB.

Alla fine ho cercato online il loro nome utente e ci sono più account con lo stesso nome seduti in coda per bounty di bug di aziende come Paypal, Apple e Windows. È possibile che stiano semplicemente eseguendo uno script per cercare bug nel nostro sistema o stanno cercando di fare qualcosa di più dannoso? Quale potrebbe essere una possibile soluzione per questo?

    
posta knocked loose 12.04.2017 - 22:01
fonte

1 risposta

6

Supponendo che questo utente stia legittimamente cercando di partecipare a un bug bounty, non dovrebbero tentare di eliminare un database tramite SQL injection. Questo utente sembra un tester di penetrazione molto inesperto, e ho la sensazione che lui o lei potrebbe non comprendere appieno l'impatto di alcuni degli script che sta eseguendo. La migliore linea d'azione può essere quella di raggiungere l'utente e far sapere loro che alcune delle loro attività potrebbero non essere nel campo di applicazione. Vorrei fare riferimento ai termini e alle condizioni del bug bounty come parte di quella comunicazione.

Se si tratta di un attore malevolo, potresti prendere in considerazione di contattarlo con lo stesso tipo di messaggio. Sembrano molto inesperti e far loro sapere che sono stati osservati potrebbero spaventarli. Oltre a ciò, si tratta di monitorare i registri, bloccare il proprio IP e assicurarsi che il software sia sicuro. Potresti anche prendere in considerazione di contattare le forze dell'ordine. Conserva i tuoi registri nel caso in cui trovi e sfrutti una vulnerabilità.

    
risposta data 17.04.2017 - 23:48
fonte

Leggi altre domande sui tag