Что делать, если обнаружил уязвимость на крупном сайте?

Посоветуйте, знающие люди. Если просто написать, будут ли какие-то последствия?.. Ведь я же без разрешения исследовал сайт.

И уязвимость достаточно критичная. Как это правильно сделать? Может быть есть люди с опытом?
  • Вопрос задан
  • 6613 просмотров
Решения вопроса 1
Mendel
@Mendel
PHP-developer
Один мой знакомый (ТМ)
Нет, не так… на самом деле случай именно что не мой а знакомого. В то время я и сам был не безгрешен, ибо был молод а Интернет был дорог, но хоть сроки давности и вышли, но история не моя, но я за ней наблюдал лично и все ходы и уязвимости знал в лицо.

В общем в те времена когда безлимитный диалап стоил как средняя зарплата в месяц один мой знакомый нашел уязвимость у одного провайдера. Почти случайно нашел, так просто глянул и нашел. В те времена чудес было много, и к примеру проверка твоего права зарегистрировать льготный тариф производилась на стороне браузера (что я считал бонусом за сообразительность а не взломом).
Так вот — человек не прикладывал усилий, поэтому сразу же скинул им уязвимость. Естественно бесплатно. Правда малый был хоть и молод, но ума хватило писать не с основного адреса, а с защищенной аватары, где и прокси использовались, и чистый браузер с чистой системы, и антиаон умный на диалапе…
Провайдер сказал ему сухое спасибо, и спросили нет ли еще чего у него интересного.
Мой друг сказал что других уязвимостей у них он не знает, но судя по тому что была за уязвимость их должно быть много, но за символическую сумму он готов провести аудит безопасности (повторяю, это было очень давно, мы были молодыми и глупыми, и не думали кому такое предлагается). Те начали тянуть кота за гениталии, и вести пустую переписку…
Чуть позже из своих источников в провайдерских и правоохранительных кругах мы узнаем, что оказывается возбуждено дело, и ищут хакера, по тем самым реквизитам, что светились при общении. Малый даже имел неприятный разговор с правоохранителями, которые хоть и были его знакомыми, но устроили ему вынос мозга, мол зачем было ЛОМАТЬ такого-то провайдера и все такое…
Естественно официально его не нашли (да и не нашли бы, если бы просто людям которым это поручили не был бы знаком этот ник по сугубо личным связям).
Ну а малый потом таки провел аудит))))
Раз провайдер не захотел покупать его работу за символическую сумму (в цифрах не помню, но в ощущениях соизмеримо со стоимостью работы по созданию сайта-визитки из типовых скриптов) — то парень продал результаты анализа на черном рынке… в розницу так сказать.
Если я не ошибаюсь, то денег с этого дела хватило на покупку плохенькой квартирки.

Итого я считаю этичным и безопасным такой путь:
Анонимно и безопасно сообщаем об уязвимости. При этом нужно продумать чтобы инфа попала как можно выше, ибо в описанном случае если бы вопрос был бы к ТОПам, то вероятность охоты на ведьм была бы меньше.
Если администрация ведет себя неадекватно (хамят, не устраняют уязвимость и т.п.) то тут уже можно и выложить на хабре или продать. Считаю это этичным, поскольку им предоставили возможность всё исправить.

А вообще как по мне так ИТ-мир держится исключительно на этике атакующих. Да, да, даже у «черных хакеров» как правило есть некая этика…
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@servekon
Написать об уязвимости администрации крупного сайта. В том, что вы без разрешения исследовали сайт нет ничего дурного. Многие крупные сайты даже приветствуют(иногда даже поощряют материально) поиск уязвимостей, о которых потом им сообщают.
Ответ написан
stavinsky
@stavinsky
Я бы не был столь уверен в доброжелательности администрации сайта. Очень может быть что кто-то еще нашел эту уязвимость и воспользовался ей, а на Вас это повесят. Но в силу своей природной честности и порядочности я бы все равно написал, просто постарался бы это сделать максимально анонимно для начала, а там если реакция будет адекватной — можно и раскрыться… Но на Ваше усмотрение.

p.s. это только мысли и истории из статей про подобные моменты. Личного опыта не было ни положительного не отрицательного
Ответ написан
Dit81
@Dit81
Security researcher, pentester
Можно написать админам, многие поблагодарят, другие фиг знает... )
Если XSS или другие уязвимости, можно опубликовать и написать репорт на сайтах hackerone.com, openbugbounty.org и других...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы