Scoperto il grande buco di sicurezza nel sito di qualcun'altro ... Cosa fare? [duplicare]

15

Un tizio che sto cercando di fare un po 'di sviluppo per avere un social network che ha scritto lui stesso. Non il prossimo facebook da nessuna parte. Ma alcune migliaia di utenti locali.

Sono andato a dare un'occhiata per vedere quale livello di conoscenza aveva, quindi sapevo come posizionarmi per questo potenziale lavoro.

Ho toccato una virgola singola nella casella di accesso sulla prima pagina e un errore SQL. Così ho provato un semplice "a" o "a"="a" in ogni scatola e sono stato immediatamente loggato come amministratore.

Aveva scritto un sito amministrativo abbastanza completo dall'aspetto delle cose. In fondo alla pagina un pulsante "Scarica backup SQL". Questo è dove mi sono fermato.

La mia domanda è questa. Cosa devo fare?

Come sviluppatore personalmente apprezzerei l'idea. Ma come qualcuno che si spera venga pagato per fare del lavoro per lui, non vorrei gettare ogni sorta di problemi di fiducia nel mix.

Qualche idea?

    
posta bencoder 27.05.2011 - 20:00
fonte

6 risposte

23

Glielo direi. Se si arrabbia con te informandolo piuttosto che abusare della tua nuova conoscenza, vuoi davvero lavorare per lui? Lo devi anche agli utenti del sito ...

    
risposta data 27.05.2011 - 20:06
fonte
20

È importante prendere sul serio Security Vulnerability Disclosure . La divulgazione inappropriata in alcune giurisdizioni può essere considerata un crimine, ed è certamente non interessante. Una buona divulgazione implica una notifica privata al venditore e un periodo di prova in cui devono fornire una correzione e una completa informativa (se i clienti hanno subito un impatto). Dopo questo periodo di tolleranza, puoi quindi rivelare.

Wiki dice:

A responsible disclosure first alerts the affected vendors confidentially before alerting CERT two weeks later, which grants the vendors another 45 day grace period before publishing a security advisory.[27]

A full disclosure is done when all the details of vulnerability is publicized, perhaps with the intent to put pressure on the software or procedure authors to find a fix urgently.

Detto questo, devi dirglielo e rapidamente . La prossima persona a scoprire l'exploit (e questa è banale , quindi succederà rapidamente) potrebbe non essere così responsabile.

Per quanto riguarda i problemi di fiducia, spiegagli esattamente ciò che ci hai spiegato. Digli che non hai rivelato la vulnerabilità a nessuno al di fuori di lui. Se fossi in lui (e mi trovassi in una situazione in cui io desidererei che l'aggressore avesse rivelato correttamente), ciò mi avrebbe fatto fidare di te più . In effetti, ti pagherei per le informazioni e per la tua divulgazione responsabile.

    
risposta data 27.05.2011 - 20:31
fonte
12

Sì. Mi capita di imbattersi in buchi di sicurezza durante la navigazione di potenziali lavori client in occasione pure.

Penso che sia assolutamente necessario renderlo consapevole, ma non ne parlerei nel contesto della valutazione della qualità del suo lavoro.

    
risposta data 27.05.2011 - 20:05
fonte
8

Nessuna domanda glielo direi.

Potrei inquadrarlo mentre ti stavi solo facendo una ricerca su ciò che è già lì, preparandoti a saltare nel progetto il più velocemente possibile (magari menzionando alcune cose che pensi siano state fatte bene , se non altro, per accarezzare il suo ego).

Quindi rilascia la bomba, ma immediatamente seguila spiegando che sei a conoscenza di questi problemi perché sono abbastanza comuni e la prima cosa che vorresti fare è avere l'opportunità per eliminare il suo sistema da questi rischi critici per la sicurezza.

    
risposta data 27.05.2011 - 20:17
fonte
1

Chiedi a uno dei tuoi amici di segnalarlo a lui. In questo modo, gli utenti sono protetti e i problemi di fiducia e altri problemi non influiscono sul tuo potenziale impiego.

    
risposta data 27.05.2011 - 20:17
fonte
1

È sempre possibile inviare una descrizione della vulnerabilità in un'email anonima. Ciò consente loro di risolverlo senza conseguenze su di te.

    
risposta data 27.05.2011 - 20:39
fonte

Leggi altre domande sui tag