Задать вопрос

Как грамотно уведомить владельца сайта о наличии уязвимости?

Добрый день! Занимаюсь пентестом, периодически тестирую случайные сайты и нахожу там уязвимости. Результат разный: бывает, есть возможность слить базу с персональными данными. По факту получается несанкционированный доступ к конфиденциальной информации (хотя и без разглашения или дальнейшего использования в корыстных целях). В соответствии с законодательством РФ, сам факт неправомерного доступа к КИ с использованием нештатных средств АИС является нарушением. Отсюда вопрос: как грамотно с юридической точки зрения сообщить о дыре владельцу сайта, чтоб не выставили потом злодеем? Пока мысль такая: просто сообщать о наличии уязвимости и о ПОТЕНЦИАЛЬНОЙ возможности ее эксплуатации, в результате чего ВОЗМОЖЕН НСД к КИ.

UPD Задача сделать максимально открыто, официально.

UPD2 Сайт достаточно крупный, реализует масштабные проекты, поэтому и появился интерес к сотрудничеству с ними. Написал им на почту. Пока ответа нет. Если будет что-то интересное, напишу здесь.
  • Вопрос задан
  • 2354 просмотра
Подписаться 8 Оценить 2 комментария
Решения вопроса 5
@laxikodeje
Важно:

1. Не сойти за спамера. Обращение должно быть очень индивидуальным.
2. Не сойти за шантажиста.

Я бы подробно расписал по какому поводу вы пишете.

Потому что иначе:

Мне буквально вчера показывали письмо такого "уведомлятора об язвимостях". Сильно смахивало на фантастику (простому люду непонятно что и их сайт может быть взят под чужой контроль, они об этом только в новостях читают) и на шантаж (звучало типа так: ну и что мы будем с этим делать).

Менеджер, получившись письма ответил просто - "не интересует". Не довел ни до руководства ни до админа.

А вообще это большая проблема.
ЛИЧНО знаком с владельцами сайта. ПОЛГОДА долблю их об уязвимости. Там и спамеры уже поселилилсь, на их сайте. А им хоть бы хны - впрочем нет: спросили сколько примерно стоит починить. Стоимость ответа видимо не устроила, решили, что тупо хочу денег. Думаю, пока их кто-то не дефейснит - не спохватятся.
Ответ написан
Комментировать
berezuev
@berezuev
#define TRUE FALSE
Левый email через проксю. Если есть возможность, руководителя проекта ставить в копию. Если владельцы сайта сами не объявили премию за найденные уязвимости, то пытаться заработать на этом не стоит - можно столкнуться с неадекватами и действительно уйти по 272-й.
Ответ написан
Storchak
@Storchak
специалист по защите информации
Поиск уязвимостей на сторонних веб-ресурсах без договора может быть чреват уголовным наказанием независимо от того, благую вы преследовали цель или нет.
Представьте ситуация, что в ваш дом вошли люди, потому что увидели незапертую дверь, полазили в нем, а потом уведомили вас о том, что обнаружили в доме места, где лежат ценные вещи, в связи с чем предложили предпринять необходимые меры. А раз вы уже залезли без спроса в "чужой дом", найдите электронный адрес службы безопасности, администраторов веб-ресурса либо службы техподдержки и сообщите об уязвимости, чтобы смягчить вашу участь в случае возбуждения против вас уголовного дела.
Для повышение своих навыков лучше используйте специальные тестовые полигоны www.securitylab.ru/blog/personal/Informacionnaya_b...
Ответ написан
vesper-bot
@vesper-bot
Любитель файрволлов
Слать на саппорт@домен или контактам сайта письмо, что вот мол есть проблема. Если стремно спалить email, используйте псевдо-одноразовый адрес. По мне, должно хватить.
Ответ написан
@dvlprjv15
Люблю программирование. Сейчас изучаю Python.
Чтобы абсолютно юридически грамотно, то попросить разрешение на проведение пентеста до проведения пентеста. В письме можно указать, что необходимо для курсовой работы, или дипломного проекта, или научных исследований и владельцу сайта это обойдется бесплатно. А можно и запугать, что мол ставлю в известность ради благих целей, а вот настоящие хакеры спрашивать не будут, унесут втихаря всю жирную инфу еще и поглумятся и выставят на позор владельца сайта. А так он узнает дыры и своевременно их закроет.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 5
Jump
@Jump
Системный администратор со стажем.
Как грамотно уведомить владельца сайта о наличии уязвимости?
Просто берете и уведомляете. Уведомлять не запрещено.

Просто не ждите что вас поблагодарят, хотя возможно и такое, и будьте готовы к негативной реакции владельца сайта. А так же в возможных обвинениях.

Правда непонятно зачем оно вам надо...
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
Если у конторы есть официальный (-ые) адрес(а) - слать на все оповещения о том, что бла-бла-бла. Но реакция будет разной :) в зависимости от того, что за контора и от ее толщины.
Ответ написан
Комментировать
saintbyte
@saintbyte
Django developer
Не знаю как сейчас а 15 лет назад даже ныне крупные конторы страдали от багов , надо было сделать очень мерзкий дефейс чтоб начали прям ловить. Я так устроится работать пытался =)
Ответ написан
sabramovskikh
@sabramovskikh
Напиши владельцу сайта что-то вроде
Привет, тебе интересно проверить свой на уязвимости? Выявление ошибок будет бесплатно, если я найду их, то помогу в исправлении на платной основе
Ответ написан
Комментировать
Dit81
@Dit81
Security researcher, pentester, internet-marketer
Аналогично искал ответ на похожий свой вопрос... Отправлял со "своего" темного e-mail. Но даже "Спасибо" многие не пишут обратно... И естественно многие даже баги не правят! )) Что иностранцы, что свои...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы