他们正在报告我们的网站被googlebot索引(元数据,薄页面内容,锚文本问题)和XSS漏洞。
我们还没有关于VDP(漏洞披露政策)的法律声明。
我的问题:
基本上,该如何进行? (他们合法吗?)
白人黑客的普遍期望是什么?
如何验证该漏洞?
#1 楼
要回答您的每个问题:1。基本上,该如何进行?甚至应该怎么办?
我建议继续。您将能够获取有价值的信息,这些信息可立即用于改善公司的安全性。您没有告诉我们研究人员向您发送了什么,但是他们将对漏洞进行描述或复制该漏洞的方法。要继续,您将需要它们:
发现的漏洞的描述/攻击情形。为什么这是一个问题,该错误具体允许攻击者执行他们不应该做的事情,最坏的情况/发现的严重程度是什么。
复制步骤。您可以给任何工程师采取什么步骤,并允许他们每次重现该错误。
黑客在寻找什么作为回报。如前所述,可能会允许在修复或付款后发布调查结果。
您可能还希望或从研究人员那里收到补救建议,风险评分等。问题已解决。他们可能会以补救窗口(例如如果问题在60天内未得到解决,他们就可以发表文章。这是常见的做法,对于大多数具有强大安全性的公司来说应该可以接受。
2。白人(帽子)黑客的普遍期望是什么?
取决于研究人员,但是一旦发现问题得到固定和金钱奖励,他们可能会希望获得发布结果的许可。奖励价格基于奖励计划的总体严重性和规模。 Hackerone是一个大型的漏洞赏金平台,其矩阵可根据公司/赏金计划的规模建议支出:https://www.hackerone.com/resources/bug-bounty-basics。确定支付价格是一种微妙的技巧-我建议在hackerone或其他漏洞赏金平台上搜索类似的错误,并根据其他公司为同一问题支付的费用为基础。他们有能力在一定时间内发布发现,而不管当时是否已修复。通常有60天的时间,但是如果您不确定您的公司可以在那个窗口内交付,我不会同意一定的时间。修补此问题后,黑客可能希望验证该修复程序是否正确实施。
3。如何验证?
使用黑客给您的复制步骤。它们应该足够清晰,以使任何工程师都可以完全按照步骤进行操作并重现该错误。如果这里有任何问题,您可以返回研究人员并进行澄清。研究人员有责任向公司提供概述和识别错误的复制步骤。
问题解决后,您可以邀请研究人员验证此修复程序并确保对其进行了完全修补。
评论
感谢您提供的上下文! XSS的严重性可能有所不同,如果他们能够像他们所说的那样真正执行未经授权的支付交易,那么这肯定是一个关键问题。当然,请确保验证此声明!在不知道您的公司或安全团队有多大的情况下,很难说出数字-如果您真的可以利用此XSS来浪费资金,我会认为少于$ 3,000的回报非常低。否则,请弄清楚此攻击最糟糕的事情是什么,对于XSS,通常在$ 500- $ 3000之间。
– Buffalo5ix
19年2月13日在22:00
+1,很好的答案。一个小批判。除非已经建立了赏金漏洞,否则即使您有要求,我也不认为您应该支付赏金。这将关系从社会契约转变为市场契约。社会合同通常比市场合同提供更多的价值,并且对于较小的公司而言效果很好,因为社会合同比大公司更容易维护社会合同。如果您将其转化为金钱,那完全是另一回事。在应得的信用额上给予信用更符合社会契约。
– Steve Sether
19-2-14在4:03
@ Buffalo5ix我认为问题是您的答案将其视为期望。就个人而言,如果没有建立任何漏洞赏金计划,我希望该漏洞能够得到及时修复,并且可以发布。我不期望有钱(而且出于道德和法律方面的考虑,我当然也不会要求钱)。我将其设计为可用于建立良好意愿的可选动作,而不是需要满足的期望。
–蒂姆
19年2月14日在20:57
@Damon意识到网站(甚至是能够启动付款交易的网站)中的漏洞并不是犯罪。您不需要实际进行攻击就可以知道。
– Ajedi32
19年2月15日在19:48
@SteveSether答案的确希望错误报告者投入大量时间和精力。当然,有人这样做只是为了获得认可,但是如果您希望他们对此采取专业态度,那么公司也采取专业态度是很公平的。与其他分包的专业工作一样,这些工作也应获得报酬,以换取专业知识和时间。
–格雷厄姆
19年2月19日在8:16
#2 楼
Hackenproof似乎是任何人都可以注册的网站,所以说您是Hackproof的成员就等于说您是Facebook的成员。这不是排他的黑客团体。没有正式的标准方法来处理这种情况,因为您的公司,您的业务,错误和白帽子都会大相径庭。一种尺寸并不适合所有人。
一般而言,谨慎而好奇是明智的。要小心,但不要偏执和斗气。不要给白帽子提供任何内部信息,而是要尽可能多地从头到尾获取尽可能多的信息,而很少或几乎不透露任何信息。这些人中的许多人喜欢交谈以展示自己的专业知识。让他们这样做。如果信息仅以一种方式流动,则危害很小。向他/她询问源代码或问题的详细描述。然后分析代码/描述并编写自己的漏洞利用程序(并且不要编译或运行白帽代码),针对测试实例运行它,最好与其他任何环境隔离。至于各方的责任,如今,大多数自称是白帽黑客的人将实行负责任的披露,直到将其修复后,才向公众发布该错误。您的责任是在合理的时间内(数周,而不是数年)修复该错误(如果足够严重)。如果您的公司提供赏金,只要漏洞符合条件,就应向他们支付赏金。如果不是这样,白帽子应该接受他们可能不会付钱的权利,但是您必须接受如果没有在合理的时间内修复错误,他们可能会将错误发布给公众。
评论
“尝试先获取尽可能多的信息,而很少或什么都不披露。”执行此操作的简单方法:“感谢提醒我们!您能否提供复制步骤?”什么都不显示,什么也不承诺,要求您提供所有需要的信息。除非绝对必要,否则我什至不会要求源代码,因为您不想执行它。
– jpmc26
19-2-14在0:59
@ jpmc26我认为询问源代码会将伪装者和探测者与真正的白帽子分开。有些人可能只是在浪费您的时间,而源代码则落空了。
– Steve Sether
19年2月14日在3:26
我可以肯定地说,如果他们没有真正发现漏洞,提供合法的步骤进行复制同样会很困难。如果确实足够复杂,需要源代码,那么合法的人可能只会在要求步骤时提供它,或者至少愿意提供它。
– jpmc26
19年2月14日在5:00
#3 楼
我不知道这里有任何严格的规定。让我们将其作为博弈论来对待:研究人员想要的是什么?
通常: CVE或研究论文。
有时以赏金的形式获得金钱。
您想要的东西
通常:
不要被公开羞辱。
要提高产品的安全性。
如何进行
从博弈论的角度来看,胜利双赢的局面是,他们向您披露详细信息,由您解决,并获得他们的公众信任。您应该与研究人员打个电话,并要求进行演示-您会收获很多,却一无所获。请注意,在愿意向您显示详细信息之前,研究人员可能需要NDA或其他法律合同,以确保最终获得信誉。
#4 楼
我可能要指出,他们对此也可能很陌生,有很多“专家”,如果这是您谋生的方式,您可能会有一个过程,但这通常需要在开始工作之前与公司达成一些协议。但是即使如此,公司和工作的种类也会有所不同。对我来说,这听起来像是一个狂热者。我真的怀疑与这个家伙说话会不会有任何损失。他可能有不切实际的期望,但您会失去什么? “必须”,“我们可以快速聊一聊您系统的一些实现细节吗”,您可能应该对它说“不”,即使它们附带了胡萝卜。
#5 楼
要回应某人在评论中所说的话,尝试排除欺诈或勒索是一件公平的事情。这是要考虑的几件事。有没有提及付款以回应信息-甚至某种“管理费”?假设您没有预先存在的漏洞赏金,那么合法的研究人员就不可能要求金钱-他们想要修复该漏洞并希望获得发现它的能力。索要金钱可能被视为敲诈勒索,或至多是不道德的。让您的工程师及早调查他们,以准确了解您所拥有的内容,并确认是否存在漏洞,即使漏洞很小。即使您遵循通常的做法,他们还是不愿透露细节吗?无论您做什么,该漏洞仍然不明确且未被确认,您可能未在处理合法报告。
他们似乎过分渴望了解有关软件工作方式的信息,甚至是有关公司或业务的信息吗?
如果该人声称代表某个小组,您可以验证他们的实际身份吗?可以发布此修复程序的时间范围(他们可能已经指定了他们想要的时间范围,但是如果看起来不合理,请进行协商)。或者,看看是否可以在以后要求宽限期,以防他们重新测试并发现该漏洞仍然以某种形式存在。
奖励金钱是一个道德上的难题,一方面奖励是很好的,但是另一方面,如果您没有漏洞赏金,则可能会鼓励人们去发现漏洞并期望获得收益,这很接近戴黑帽子的行为。同样,要小心,如果他们首先提出钱的问题,即使您确实打算捐钱。但是,如果您这样做了,那么如果您建立某种形式的正式的赏金计划,对所有人都更好。
评论
根据hackenproof.com/#how-it-“漏洞是通过我们的协调平台提交和管理的。”您确定自己没有通过hackenproof与您联系吗?他们的整个业务模型是为像您这样的公司创建bug赏金计划,而这些公司实际上并不注重安全性。他们的“成员”只是为了争夺漏洞赏金而竞争,他们不会自己联系公司。如果不是公司,那么似乎有人在进行社会工程您您至少可以做的是,通知您公司的安全负责人,已经联系您并告知您xss漏洞。不泄露信息的部分是常识。
可能相关:[我们的办公室着火了。我们还没有火灾响应政策。我们应该留在原地,还是匆忙写一个,显然显然不理想?](
请注意,根据GDPR,您需要在数据泄露后72小时内通知相关当局。如果您没有任何欧盟客户,则可能不适用于您,但如果您没有,则希望昨天开始。
无论您做什么,请不要拉Oracle来起诉白帽子。