如何在不被视为黑客的情况下报告漏洞？

#1 楼

仅报告它使用HTTP而不是HTTPS进行登录，并且报告不安全，不应使您被指控黑客入侵。通过查看该站点，可以立即公开看到该内容。

有很多检测漏洞的方法实际上可以被认为是黑客攻击（例如，针对您无权对其运行的目标运行漏洞扫描程序），但我不知道任何会考虑查看页面并识别出立即可见被黑客入侵的漏洞的司法管辖区。这有点像在房子旁走走，注意到有人离开时门一直开着，当您向他们指出他们离开门时，他们被指控是小偷（而您甚至没有站在门上）他们的财产。）

#2 楼

如果他们忽略了您的电子邮件，则可以尝试将其报告给负责执行《数据保护法》的组织。我不知道您来自哪里，在英国会是http://ico.org.uk/concerns

他们有责任保护您的数据安全。

#3 楼

首先，你不能让任何人做任何事情。作为明矾，您可以提出自己的个人担心，即您的凭据已公开，仅此而已。

我不确定有人会如何将您所说的行为视为黑客行为，但这取决于您的管辖权。在我的系统中，捕获您自己的数据包根本不是非法的。

不幸的是，IT支持使您无法进入常规的电子邮件收件箱，但是您必须遵循他们的程序。

#4 楼

这是我的方法：

尝试找出您的大学是否有负责安全的人员。也许他们有这样做的公司，或者有部门。如果是这样，请尝试与这些人联系。他们经常知道您在说什么。

与他们联系时，您无需告诉他们有关Wireshark的信息。说“我注意到该站点使用HTTP，并且由于我从事计算机安全工作，所以我知道这意味着我的名称和密码将通过Internet发送，而没有任何形式的保护。您和我之间任何网络中的任何恶意人员都可能这样窃取我的身份。您知道吗？”

所以第一个目标是：“我发现了风险，知道了我的意思。”然后看看他们如何回应。这不是威胁生命的情况。如果需要几天的时间就可以解决。您可以使用几封邮件来说明您的观点。

如果他们拒绝相信您，请给他们一个食谱，让他们自己看到（安装Wireshark，使用此规则，执行登录，然后回头看） Wireshark向您显示的内容）。这样，他们运行“不良”工具。您无需随时告诉他们您在自己的计算机上所做的事情。如果按下，您可以说“我使用了公司的安全工具来捕获浏览器发送给您的数据，然后我看到了……”

#5 楼

TL; DR-专业而谦虚将大有帮助。隐秘，自大或恶意显然不会那么好。如果您冷静地和私下与他们合作，他们可能会做同样的事情。

这听起来几乎是粘贴并粘贴到我开始发现大学安全问题的方式上。我的大学正在将学生的ID放在cookie中，这就是您登录时的身份。如果您操作Cookie，则可以使用任何人登录。正是这一发现使我对它们的安全性有了更深入的了解。他们还拥有一个不安全的邮件服务器，该邮件服务器无需身份验证即可中继任何内容。学校目录中图像的文件名只是该学生ID的奇怪编码。有一次，我可以查找一个SSN并获得一个学生的名字。

我一次发现了这些错误。它从“我的信息需要安全，但不是安全的”开始，我会指出我发现的最新IT缺陷。大约第三次报告之后，我开始感到生气和对部门的优越感。我每隔一周就会去技术副总裁办公室，指出一种新的方式来获取早在1995年的学生的SSN或财务记录，或者某种跟踪者技术来确定某人的整个班级时间表（包括他们在该班级的字母成绩） ）。副总裁也开始对我产生敌意。我承认六个月后我可能没有最好的态度。有一次我被开除大约3周，当时他们听说我要对他们的编码进行反向工程（见上链接）。我想向他们展示当一个人不与他们一起工作并且他们处于黑暗中时哪些漏洞是脆弱的。最终我们进行了整理，但与此同时，双方都充满了愤怒，文书工作和自我。

我要说明的一点是，尽管我很讨厌，但IT部门还是与我一起工作。他们解决了问题，学校为此而更好。只要我对自己的意图保持直觉并公开自己在做什么，他们就不会威胁我或阻碍我。直到我秘密工作时，他们才采取纪律处分。我到处都是绝对可以被认为是黑客的东西，包括注入攻击，社会工程，反向工程，数据包嗅探，端口扫描，自定义软件利用等等。由于我从不进行任何更改，并且总是（通常……很好）向他们悄悄地直接报告我的发现，因此他们与我合作。我毫不怀疑，如果我不是驴子，那我就不会被暂时驱逐出境。

#6 楼

惠普引爆点提供的一项服务称为“零日倡议”。 http://www.zerodayinitiative.com/

它的工作原理。


他们从您那里购买漏洞
HP Tipping Point提供了保护向其智能防火墙用户的客户群
ZDI与供应商一起努力解决问题（通常可能需要6个月的时间）
如果供应商不响应或让步，则ZDI会报告公开显示该漏洞。

正如您所看到的，您已经完成了第一步，您获得了钱，并且可以保持匿名。

#7 楼

有时很难解释安全对人们的重要性。有些人只是不了解安全性，而其他人则认为他们的系统永远不会受到威胁。报告安全威胁有时会被忽略，或者需要很长时间才能得到解决。根据我的经验，您可以全面了解如何提高安全性，我将演示攻击。演示攻击时，建议您使用自己的盒子，在其中可以设置类似的环境。这样做可以直观地向人们展示如何窃取数据。

#8 楼

这是一个相当困难的问题，因为公司和大学在应对此类敌对行动和开枪打靶方面有着悠久而自豪的历史。并不能保证您不会因为注意到他们的不安全而受到起诉。他们可能没有针对您的案子，但这并不意味着他们不会使您痛苦。

所以这里有一些想法可能会有所帮助。


保持匿名：保护身份的方法有很多。我不会在这里介绍他们，但是在大多数情况下，您不必标识自己即可披露漏洞。如果您担心遭到报复，最好不要这么做。
不要直接披露：虽然私下处理该问题是理想的选择，但这样做几乎没有保护作用如果他们决定进行报复。通过受信任的第三方披露漏洞，可以通过阻止第三方控制故事来使您从某种程度上直接采取行动。通常，间接披露是保持匿名的一种方式。
关注他们的疏忽而不是脆弱性：如果您先占道德高地，那么攻击您会将他们描绘成更多的疏忽，而不是更少的疏忽。对于主要因疏忽大意而将举报人描绘成犯罪分子的服务而言，是极其困难的（且极为罕见）。仅仅指出他们的不安全状况并不能给您任何道德上的优势，而是让他们有机会通过指控您犯有刑事不当行为来将自己描绘成受害者。不要把它们给丢掉。

#9 楼

从您所说的内容来看，没有证据表明您尝试黑客入侵。您只需监视自己网络的传入和传出请求即可。

如果您仍然对这种情况不满意，请尝试与加拿大的隐私保护专员联系，以了解他们的建议。 https://www.priv.gc.ca/

#10 楼

这似乎更像是一个心理/社会学问题，而不是一个安全性问题，因为问题似乎在于如何与另一方最好地沟通，并说服他们采取特定行动。我无法相信任何“黑客”指控都可能会因其他答案解释的原因而对法律产生真正的后果。

上述方法的另一种方法是实施有力的犯罪。如果他们拒绝确认您的电子邮件，请以礼貌但坚定的态度发送半威胁邮件，解释说，如果他们没有解决此安全漏洞以保护您的个人数据，则您可能需要采取法律行动来保护自己。这可能可行，也可能不可行，具体取决于他们实际存储的是您的个人信息。

这种方法自然会建立对抗性的互动，因此在走这条路之前请仔细考虑。