it-swarm.com.de

Sollte ich eine Sicherheitslücke melden?

Ich habe eine Site mit einem Schwachstellenscanner gescannt und eine Schwachstelle mit einem CVV-Wert von 10 gefunden. Soll ich den Bericht an das Unternehmen senden?

25

Kurznotiz: Diese Antwort setzt voraus, dass Sie die Berechtigung haben, Scanner für die Website auszuführen. Das Ausführen von Scannern gegen eine Website ist in praktisch allen Ländern illegal. Wenn Sie dies tun, lautet mein einziger Vorschlag: "STOP!".

Was du nicht tun solltest

Sie sollten niemals einen Schwachstellenbericht von einem Scanner an ein Unternehmen senden. In 90% der Fälle sind diese für sich genommen nutzlos und werden wahrscheinlich von jedem kompetenten Sicherheitsteam ignoriert. Der Grund dafür ist, dass Scanner eine beliebige Anzahl von Fehlalarmen aufweisen können. Ein Positiv von einem Schwachstellenscanner bedeutet also nicht, dass tatsächlich eine Schwachstelle vorliegt. Es ist jedoch üblich, dass neue Bug-Bounty-Tester einfach Schwachstellenberichte von Scannern an Unternehmen senden, ohne zu verstehen, was der Bericht sagt, ob er korrekt ist oder ob er überhaupt anwendbar ist. Infolgedessen ignorieren Sicherheitsteams häufig nur einen Bericht, der direkt aus einem Scanner stammt. Die meisten Bug-Bounty-Programme geben dies ausdrücklich an.

Was du machen solltest

Stattdessen sollten Sie sich die Zeit nehmen, um selbst einen Schwachstellenbericht zu erstellen. Dies bedeutet, dass Sie die Art der Schwachstelle, die Schritte zur Bestätigung Ihrer Ergebnisse, das Risiko, das die Schwachstelle für das Unternehmen verursacht, und möglicherweise sogar die Schritte, die sie unternehmen können, beschreiben die Gefahr mindern. Das sollten Sie an das Unternehmen senden, und so etwas zu senden ist fast immer eine gute Idee.

Wenn dies ein Unternehmen ist, das kein öffentliches Bug-Bounty-Programm hat, ist es noch weniger wahrscheinlich, dass es einen Bericht aus einem Scanner heraus verstehen kann. Umso wichtiger ist es, dass Sie sich die Zeit nehmen und Stellen Sie einen tatsächlichen Schwachstellenbericht bereit, in dem die Schwachstelle, die Auswirkungen auf das Unternehmen, eine Schätzung des Schweregrads und vorgeschlagene Maßnahmen zur Schadensbegrenzung aufgeführt sind. Dies ist natürlich nicht die Situation, in der Sie sich befinden, da das Ausführen automatisierter Sicherheitsscans auf einer Website ohne ausdrückliche Genehmigung in den meisten Ländern illegal ist und im Allgemeinen eine schlechte Idee ist ...

tl/dr:

Sollten Sie die Ergebnisse von Ihrem Scanner an ein Unternehmen senden? Nein, weil das oft nutzlos ist. Sie sollten sicherstellen, dass der Scanner kein falsches Positiv meldet, und anschließend einen Bericht senden, in dem die Sicherheitsanfälligkeit, die Möglichkeiten zur Reproduktion, eine Erläuterung der Auswirkungen und Vorschläge zur Schadensbegrenzung aufgeführt sind. Sie sollten nicht "hacken" sich unter keinen Umständen in das System.

46
Conor Mancone

Regel 1 zum Scannen von Sicherheitslücken oder zu anderen Aktivitäten, die möglicherweise als feindlich interpretiert werden könnten: Lassen Sie sich zuerst eine schriftliche Genehmigung erteilen, die von der Geschäftsleitung unterzeichnet wurde. Ein unaufgeforderter "Schwachstellen-Scan" ist nicht von einem Hacking-Versuch zu unterscheiden. Wenn Sie ein gängiges Tool verwendet haben und eine intelligente Überwachung durchgeführt wird, haben sie diesen Scan erkannt und Ihre IP-Adresse protokolliert. Und ein schlecht formulierter Bericht über eine Sicherheitslücke, die Sie gefunden haben, ist von einer Bedrohung nicht zu unterscheiden. Wenn Sie Glück haben, kann das Vorhandensein eines häufigen Fehlers auf ihrer Website bedeuten, dass sie nicht gut überwacht werden. Wie auch immer, eine solche Firma wird mehr wahrscheinlich die Polizei anrufen, wenn sie, wenn auch fälschlicherweise, denkt, dass Sie drohen, sie zu hacken.

Betrachten Sie es so: Ein zufälliger Fremder sagt Ihnen eines Tages, dass Sie Ihre Fenster unverschlossen gelassen haben. Er oder sie schwört, dass sie nicht in Ihr Haus gegangen sind. Würdest du dankbar sein oder dich fragen, warum diese Person deine Fenster ausprobiert hat?

Es ist traurig zu sagen, aber dies ist die Realität der heutigen Welt - Ihre vernünftigste Option ist, nichts zu tun. Bedenken Sie, dass Sie heute etwas über das Scannen von Sicherheitslücken gelernt haben, und fahren Sie fort.

41
Gaius

Willst du ein weißer oder ein schwarzer Hut sein? Die Antwort kann auch davon abhängen, welche Gesetze gelten, je nachdem, in welchem ​​Land Sie sich befinden und in welchem ​​Land sich das Unternehmen befindet.

Dinge, die immer in Ordnung sind

Verwenden Sie einen verantwortungsvollen Offenlegungsprozess, um die Ergebnisse dem Unternehmen mitzuteilen.

Überprüfen Sie, ob das Unternehmen über einen Schwachstellenberichtsprozess verfügt. Ein guter Anfang ist zu sehen, ob sie einen https://company.com/.well-known/security.txt Haben. Wenn nicht, suchen Sie nach einer Sicherheits-E-Mail-Adresse, um solche Dinge zu melden.

Eine andere Möglichkeit, wenn Sie nicht direkt mit dem Unternehmen in Kontakt treten können oder wollen, besteht darin, sich über einen Mittelsmann wie S Cert zu melden.

Hier sollte auch angegeben werden, dass Sie, wenn Sie möchten, dass das Unternehmen Sie ernst nimmt, das Problem klar beschreiben, Schritte zur Reproduktion durchführen, beschreiben müssen, wie weit verbreitet es in ihrer Anwendung ist, welchen Schaden und Angreifer es verursachen könnte und was sie verursachen sollte tun, um es zu beheben. Wenn Sie ihnen nur den Bericht von einem Scanner senden, werden sie Sie wahrscheinlich ignorieren oder schlimmer noch einen Anwalt nach Ihnen schicken (siehe unten).

Dinge, die manchmal in Ordnung sind

Manchmal ist es in Ordnung, das Ergebnis zu veröffentlichen, ohne das Unternehmen zu informieren (z. B. durch Einreichung eines CVE oder Schreiben eines Blogposts, Github Repo).

Abhängig von der Art und dem Schweregrad der Sicherheitsanfälligkeit kann dies mehr Schaden als Nutzen anrichten, wenn Personen gehackt werden, bevor das Unternehmen Zeit hat, diese zu beheben.

"Dinge, die manchmal in Ordnung sind" können das Ausführen des Scanners an erster Stelle umfassen. Wenn Sie nicht dafür engagiert sind oder es ein Bug-Bounty-Programm gibt, kann dies als Hacking-Versuch interpretiert werden. (Danke @EsaJokinen). Eine schnelle Google-Suche zeigt, dass Sie bei einer "Sicherheitsrecherche" ohne Erlaubnis genauso wahrscheinlich zur Gefängnisstrafe führen wie zu einem Dankeschön:

Wenn Sie die Website einer anderen Person mit einem Sicherheitsscanner aufrufen, können Sie in große Schwierigkeiten geraten. Vergewissern Sie sich daher, dass Sie die rechtlichen Auswirkungen verstanden haben, bevor Sie dies tun!

Dinge, die niemals in Ordnung sind

Die Website selbst hacken.

Dies ist zweifellos in jedem Land illegal, in dem diesbezüglich Gesetze gelten.

Seien Sie bei diesem Ansatz sehr vorsichtig, da Sie viel verlieren können und ich nicht sicher bin, ob Sie etwas gewinnen (zumindest aus der Perspektive eines weißen Hutes).

20
Mike Ounsworth