試想以下情形:如何最好地爲您自己的公司的Web開發團隊提供安全漏洞?
你在大公司工作,你的同事在走廊上的網絡開發團隊對於大聯合的公共博客系統,它有很多大有限公司員工和一些公共人使用。博客系統允許任何HTML和JavaScript,並且你被告知這是一個選擇(不是偶然的),但你不確定他們是否意識到這一點。
所以你想說服他們,這是一個壞主意。你寫一些演示代碼,並在自己的博客中植入一個XSS腳本,然後寫一些博客文章。不久之後,首席博客管理員(走廊)訪問您的博客帖子,XSS將Cookie發送給您。您將它們複製到您的瀏覽器中,然後您現在以他身份登錄。
好了,現在你登錄爲他......你開始意識到這也許不是個好主意繼續前進,「黑客」的博客系統。但你是個好人!登錄後你不會觸摸他的帳戶,而且你絕對不打算宣傳這個弱點;你只是想告訴他們公衆能夠做到這一點,以便他們可以在惡意實現相同的事情之前修復它!
什麼是行動的從這裏最好的課程?
每當我看到我們內部的IT團隊過去需要解決的安全問題時,我只是告訴他們問題是什麼以及可以採取哪些措施來潛在利用它。
取決於他們是多麼敏感,什麼站在你與他們持有/貴公司,驗證的概念代碼可能是也可能不是一個好主意。如果他們有理由懷疑你惡意使用它,我會保留自己。否則,如果他們感激,分享它。
這是關於唯一的敏感區域。只需以負責任的方式傳達這個問題,很明顯,您只是在擔心安全問題,並不打算利用這些問題。
真的取決於公司的位置,人們在大廳等,等的性質....
呈現一個選項:
走過去給他們,說明威脅以抽象的方式(「有人可以劫持你的cookies,反過來......」),並詢問他們是否想看到一個示範?如果遊戲中有很大的自我意識,並且你真的希望他們解決這個問題,不要和整個團隊說話,而應該和團隊負責人交談。
如果他們同意,等待幾個小時,回來登錄爲「他」,並做一些非破壞性的,但明顯在系統 - 你經過他們的允許這樣做。他們可能會留下深刻的印象,並且看到洞被修復了。
如果他們不同意,說你走了,好了,你必須權衡你的選擇:要麼你把它什麼地方更高,或者你把它埋。通過提及這個問題,您將放棄匿名發送的所有選項。
如果你不能100%確定決策鏈上的每個人都是合理的,並且完全理解你在做什麼,並且這是爲了公司的利益,我不會做任何流氓「黑客行爲「 - 總是首先談論它,尤其是在大公司的環境中。這種東西太容易誤解爲惡意,尤其是如果有人會因爲構建這個安全漏洞而感到尷尬,並且希望將責任歸咎於其他人。
每個人都專注於固定網站的問題,也許我只是一個小權謀,但我還想到要確保我的反對意見以書面記錄;我會寫一封電子郵件給我的一些上司。
你需要的最後一件事是被利用的網站,決策者堅持說你的工作(或你的夥伴的工作)考慮技術方面,而你發現沒有人記得你說過話。
我認爲你已經超越了你的角色。雖然XSS漏洞是一個嚴重的問題,但如果您不是組織中的信息安全角色,那麼您確實沒有業務侵入關於大廳運營的開發組織。
沒有絕對安全的東西,但我想像監督博客項目的人在晚上很容易知道,如果任何員工濫用技術,他們可以通過日誌跟蹤並進行相應的處理。
如果你writen惡意代碼「在於向世人證明這種」未經其同意,這是一個非常嚴重的行爲未經批准進行,我會想象你的上司就會有同樣的感覺。
我同意在撰寫此類漏洞利用程序之前他應該已經獲得許可,但任何人都可以找到安全問題,因此應該有辦法報告它並搞定它。這裏的問題是網絡開發團隊不理解他們所擁有的安全問題...... 沒有人應該隱藏在「安全它不是我的工作」的藉口和忽視問題。 – JPCosta 2010-06-10 23:03:49
你有三個可行的選擇:
聊到網絡團隊。
與自己的老闆交談。
忽略它。
我想我會去這兩個1和2
這是令人震驚的行爲。如果他們不瞭解像XSS這樣的最簡單的安全漏洞,那麼他們必須是,並將其解僱爲。這不是因爲一個單一的漏洞,這只是愚蠢的。他們應該被解僱,因爲他們不瞭解安全問題,我毫不懷疑他們已經引入了更多嚴重漏洞進入系統。如果他們沒有得到這本教科書的XSS問題,那麼CSRF呢?他們會認爲你瘋了!
瞭解您的代碼的安全影響是絕對的要求。沒有這個,程序員只是一個負擔。
試着只給他們說話是不是一個好主意? – 2010-06-10 20:25:05
你已經簡要表達了你的顧慮;這是你在這個談話中瞭解到這是一個決定(全部或全部,或者你被告知)。您想表達的是,有一箇中間立場,阻止除非惡意軟件以外的所有HTML標籤,但同時您首先進行演示,以獲得實際**證明**以備份您的疑慮。 – BigCoEmployee 2010-06-10 20:26:50
要將匿名攻擊的證據匿名發送給首席博客管理員,請轉至第34頁。 – 2010-06-10 20:27:55