Ik heb een site gescand met een kwetsbaarheidsscanner en deze vond een kwetsbaarheid met een CVV-score van 10. Moet ik het rapport naar het bedrijf sturen?
Ik heb een site gescand met een kwetsbaarheidsscanner en deze vond een kwetsbaarheid met een CVV-score van 10. Moet ik het rapport naar het bedrijf sturen?
Korte opmerking : bij dit antwoord wordt ervan uitgegaan dat u toestemming heeft om scanners op de website uit te voeren. Het uitvoeren van scanners op een website is in vrijwel alle rechtsgebieden illegaal, dus als u dat doet, is mijn enige suggestie: "STOP!".
U mag nooit een kwetsbaarheidsrapport van een scanner naar een bedrijf sturen. 90% van de tijd zijn die op zichzelf nutteloos en worden waarschijnlijk genegeerd door een bekwaam beveiligingsteam. De reden hiervoor is dat scanners een willekeurig aantal false positives kunnen hebben, dus een positief van een kwetsbaarheidsscanner betekent niet echt dat er een kwetsbaarheid is. Het is echter gebruikelijk dat nieuwe bug bounty-testers eenvoudig kwetsbaarheidsrapporten van scanners naar bedrijven sturen zonder enig begrip van wat het rapport zegt, of het correct is of zelfs maar van toepassing is. Als gevolg hiervan negeren beveiligingsteams vaak een rapport dat rechtstreeks uit een scanner komt. De meeste bugbounty-programma's vermelden dit specifiek.
In plaats daarvan zou u de tijd moeten nemen om zelf een kwetsbaarheidsrapport te genereren, wat betekent dat u de aard van de kwetsbaarheid beschrijft, stappen die ze kunnen nemen om uw bevindingen te bevestigen, het risico dat de kwetsbaarheid creëert voor het bedrijf en mogelijk zelfs stappen die ze kunnen nemen om het gevaar te verminderen. Dat is wat je naar het bedrijf moet sturen, en zoiets sturen is bijna altijd een goed idee.
Als dit een bedrijf is dat geen openbaar bugbounty-programma heeft, is de kans nog kleiner dat ze een rapport uit een scanner kunnen begrijpen, dus het zal veel belangrijker voor je zijn om de tijd en geef een feitelijk kwetsbaarheidsrapport met details over de kwetsbaarheid, de impact op het bedrijf, een schatting van de ernst ervan en voorgestelde maatregelen om het probleem op te lossen. Maar dat is natuurlijk niet de situatie waarin u zich bevindt, aangezien het uitvoeren van geautomatiseerde beveiligingsscans op een website zonder expliciete toestemming in de meeste rechtsgebieden illegaal is en in het algemeen een slecht idee ...
Moet u de resultaten van uw scanner naar een bedrijf sturen? Nee , want dat heeft vaak geen zin. Wat u moet doen, is controleren of de scanner geen vals-positief rapporteert en vervolgens een rapport sturen waarin de kwetsbaarheid wordt beschreven, wat ze kunnen doen om het te reproduceren, een uitleg van de impact en voorgestelde beperkende maatregelen. Het is duidelijk dat u het systeem onder geen enkele omstandigheid mag "hacken".
Regel één van het scannen op kwetsbaarheden of enige andere activiteit die mogelijk als vijandig kan worden geïnterpreteerd: vraag eerst schriftelijke toestemming, ondertekend door het senior management. Een ongevraagde "kwetsbaarheidsscan" is niet te onderscheiden van een hackpoging - en als je een algemeen hulpmiddel hebt gebruikt, en ze hebben slimme monitoring, zullen ze die scan hebben gedetecteerd en je IP-adres hebben geregistreerd. En een slecht geformuleerde melding van een gevonden kwetsbaarheid is niet te onderscheiden van een dreiging. Als je geluk hebt, kan het bestaan van een veel voorkomende bug op hun site betekenen dat ze geen goede monitoring hebben. Een dergelijk bedrijf zal echter eerder de politie bellen als ze, hoe onjuist ook, denken dat u hen dreigt te hacken.
Beschouw het op deze manier: een willekeurige vreemdeling vertelt je op een dag dat je je ramen niet op slot hebt gedaan. Hij of zij zweert dat ze je huis niet zijn binnengegaan. Zou je dankbaar zijn of zou je je afvragen waarom deze persoon je ramen probeerde?
Het is triest om te zeggen, maar dit is de realiteit van de wereld van vandaag - je verstandigste optie is om niets te doen. Bedenk dat u vandaag iets hebt geleerd over het scannen van kwetsbaarheden, en ga verder.
Wil je een witte hoed of zwarte hoed zijn? Het antwoord kan ook afhangen van de wetten die van toepassing zijn op basis van het land waarin u zich bevindt, in welk land het bedrijf zich bevindt.
Gebruik een verantwoord openbaarmakingsproces om informatie openbaar te maken de bevinding voor het bedrijf.
Kijk of het bedrijf een rapportageproces voor kwetsbaarheden heeft. Een goede plek om te beginnen is kijken of ze een https://company.com/.well-known/security.txt
hebben. Als dit niet het geval is, zoek dan rond en kijk of ze een beveiligd e-mailadres hebben om dit soort dingen te melden.
Een andere optie als u niet rechtstreeks met het bedrijf kunt of wilt omgaan, is rapporteren via een tussenpersoon zoals US Cert.
Hier moet ook worden vermeld dat als u wilt dat het bedrijf u serieus neemt, u het probleem duidelijk moet beschrijven, de stappen om te reproduceren, beschrijf hoe doordringend het is in hun toepassing, welke schade en aanvaller ermee zou kunnen veroorzaken en wat ze moeten doen om het te repareren. Als je ze gewoon het rapport van een scanner stuurt, zullen ze je waarschijnlijk negeren, of erger nog, een advocaat sturen (zie hieronder).
Soms is het ok om het resultaat te publiceren zonder het bedrijf te informeren (bijvoorbeeld door een CVE in te dienen, of een blogpost te schrijven, github-repo).
Afhankelijk van het type en de ernst van de kwetsbaarheid, zou dit uiteindelijk meer kunnen opleveren schade dan goed als mensen gehackt worden voordat het bedrijf de tijd heeft om het te repareren.
"Dingen die soms oké zijn" zou in de eerste plaats het gebruik van de scanner kunnen zijn. Tenzij u daarvoor wordt ingehuurd of als er een bugbounty-programma is, kan het worden geïnterpreteerd als een hackpoging. (Bedankt @EsaJokinen). Een snelle Google-zoekopdracht toont aan dat wanneer je zonder toestemming "veiligheidsonderzoek" doet, je net zo goed naar de gevangenis wordt geleid als om een bedankje te krijgen:
Iemand anders aanvallen website met een beveiligingsscanner kan u in grote problemen brengen, dus zorg ervoor dat u de juridische implicaties begrijpt voordat u het doet!
De website zelf hacken.
Dit is ongetwijfeld illegaal in elk land dat hier wetten over heeft.
Wees heel voorzichtig met deze aanpak, want je kunt veel verliezen, en ik weet niet zeker of je iets wint (bij althans vanuit een white-hatperspectief).