Ας πούμε ότι ανακαλύπτεις ένα σοβαρό κενό ασφαλείας.

Προβληματισμοί και ανταλλαγή ιδεών από την Επικαιρότητα και διάφορα άλλα θέματα.

Συντονιστής: Super-Moderators

Απάντηση
Άβαταρ μέλους
Pavel
Honorary Member
Δημοσιεύσεις: 1046
Εγγραφή: 08 Αύγ 2003 00:05
Τοποθεσία: UK

Ας πούμε ότι ανακαλύπτεις ένα σοβαρό κενό ασφαλείας.

Δημοσίευση από Pavel » 30 Ιουν 2009 22:54

Με μεγάλη μου χαρά, μπορώ να πω ότι από όλα τα fora που υποστηρίζουν ότι είναι τεχνολογικά, το freestuff όντως είναι .-

Και επειδή υπάρχουν πολλοί webmasters και επιχειρηματίες εδώ μέσα, θέλω να θέσω το εξής ερώτημα.

Ας πούμε ότι ανακαλύπτω ένα πρόβλημα ασφαλείας σε μια σελίδα. Είτε αυτό είναι SQL Injection, είτε XSS είτε κάποιο λογικό σφάλμα σε κάποια σελίδα. Και δεν αναφέρομαι σε Joomla, phpBB και τα σχετικά. Οι επιλογές μου, νομίζω είναι οι εξής:

1. Δεν λες τίποτα και δεν κάνεις τίποτα. Το βρήκες, το είδες, λήγει εκεί.
2. Επικοινωνείς με τον webmaster της σελίδας και του αναφέρεις το πρόβλημα.
3. Επικοινωνείς με τον ιδιοκτήτη της σελίδας (ο πελάτης του webmaster) και του αναφέρεις το πρόβλημα. (Βέβαια αυτό είναι ένα έμμεσο χώσιμο στον webmaster. Τον καρφώνεις στην ουσία.)
4. Όχι δεν έχει 4, και το "θα εκμεταλλευτείς το κενό ασφαλείας" δεν είναι επιλογή.

Το ερώτημα τώρα είναι το εξής. Αν κάποιος επικοινωνούσε μαζί σας, αναφέροντας κάποιο πρόβλημα πώς θα αντιδρούσατε; Θα το εκτιμούσατε; Θα τον κράζατε;

Έχω σκεφτεί σενάρια από "συνεργασία" μέχρι "μήνυση" επειδή "εισέβαλα" στο site. Χώρια ότι αν συμπτωματικά 2 μέρες μετά το βρει και άλλος και μπει και τα ισοπεδώσει όλα, εσύ θα είσαι ο πρώτος ύποπτος.

Ποια είναι η γνώμη σας για το συγκεκριμένο ζήτημα; Αν γνωρίζετε και τίποτα νομικά περί του θέματος, ακόμη καλύτερα.
Εσύ είσαι τρελός.

Άβαταρ μέλους
fiskilis
Honorary Member
Δημοσιεύσεις: 14098
Εγγραφή: 16 Νοέμ 2003 22:44
Τοποθεσία: Athens
Επικοινωνία:

Ας πούμε ότι ανακαλύπτεις ένα σοβαρό κενό ασφαλείας.

Δημοσίευση από fiskilis » 30 Ιουν 2009 23:07

φυσικά η πρώτη επιλογή είναι το 2 με ταυτόχρονη κοινοποίηση στο 3

εγώ το είχα αυτό το πρόβλημα πρόσφατα και αυτός που το ανακάλυψε
το είπε σε κάποιον γνωστό μου που συνεργαζωμαστε τον ευχαρίστησα άμεσα και έλυσα το πρόβλημα !

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3203
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

Ας πούμε ότι ανακαλύπτεις ένα σοβαρό κενό ασφαλείας.

Δημοσίευση από CyberCr33p » 01 Ιούλ 2009 00:16

Εάν ήταν γνωστός ή φίλος αυτός που έφτιαξε τη σελίδα θα ενημέρωνα μόνο αυτόν.

Το ίδιο θα έκανα και εάν την είχε φτιάξει κάποιος ανταγωνιστής τον οποίο εκτιμούσα ως επαγγελματία.

Σε όλες τις άλλες περιπτώσεις θα έκανα ότι και ο fiskilis.

Άβαταρ μέλους
Sheena
Honorary Member
Δημοσιεύσεις: 3654
Εγγραφή: 07 Σεπ 2005 00:00

Ας πούμε ότι ανακαλύπτεις ένα σοβαρό κενό ασφαλείας.

Δημοσίευση από Sheena » 01 Ιούλ 2009 02:27

Όταν βρήκα κάποτε ένα σφάλμα σε σελίδα επικοινώνησα με τον webmaster της σελίδας και με ευχαρίστησε. Το διόρθωσε σύντομα. Και μάλιστα ξεκινήσαμε μια επικοινωνία πάνω σε κάποια θέματα της σελίδας που με ενδιέφεραν.... Δεν ξέρω, σε καλό μου βγήκε τότε.... Από κει και πέρα τι να πω. Εξαρτάται.
Εικόνα

id12856 Οι άγγελοι πάνε κοντά με τους αγγέλους...

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10249
Εγγραφή: 28 Ιούλ 2001 03:00

Ας πούμε ότι ανακαλύπτεις ένα σοβαρό κενό ασφαλείας.

Δημοσίευση από Cha0s » 01 Ιούλ 2009 16:36

1) Αξιοποιείς το vulnerability για να μπεις στο μηχάνημα.

2) Μετά κατεβάζεις το οπλοστάσιο με τα exploits μέχρι να πάρεις root στο μηχάνημα και έπειτα πετάς ένα ωραίο backdoor.

3) Τέλος κάνεις infect όλες τις σελίδες του server με 1 iframe 1x1 όπου φορτώνει ένα url με ότι remote exploit παίζει για browser ώστε να φας και τους users που θα μπουν στις σελίδες του server!

:lol: :lol: :lol:

Πέρα από την πλάκα,

Στην περίπτωση που το site με ψήνει, το παρακολουθώ ή γενικά θεωρώ πως αξίζει και δεν είναι άλλη μία σαβούρα στο αχανές internet θα ακολουθούσα το βήμα 2.
Αν δεν μπορούσα να βρω τον webmaster θα πήγαινα στο βήμα 3.
Αν δεν μπορώ να επικοινωνήσω ούτε έτσι θα επέστρεφα στο βήμα 1 και exit(); :kaloe:

Άβαταρ μέλους
Pavel
Honorary Member
Δημοσιεύσεις: 1046
Εγγραφή: 08 Αύγ 2003 00:05
Τοποθεσία: UK

Ας πούμε ότι ανακαλύπτεις ένα σοβαρό κενό ασφαλείας.

Δημοσίευση από Pavel » 02 Ιούλ 2009 00:48

ΟΚ, το αναφέρεις και του γυρνάνε τα μυαλά σε λέω δικέ μου ναούμ και στρέφεται εναντίον σου. Πχ. μηνύσεις και τα σχετικά.
Ποιο είναι το χειρότερο που μπορεί να συμβεί κατά την άποψή σας (ή κανένα σκηνικό αν ξέρετε).
Εσύ είσαι τρελός.

Άβαταρ μέλους
c0d3punk
Honorary Member
Δημοσιεύσεις: 1076
Εγγραφή: 15 Σεπ 2008 22:32
Τοποθεσία: Puerto pollo
Επικοινωνία:

Ας πούμε ότι ανακαλύπτεις ένα σοβαρό κενό ασφαλείας.

Δημοσίευση από c0d3punk » 04 Ιούλ 2009 10:57

δεν είναι παράνομο να ελέγχεις την ασφάλεια ενός συστήματος. η παρανομία αρχίζει από την στιγμή που θα μπεις να σβήσεις ή να καταστρέψεις αρχεία. από όσο ξέρω.

αν δεν έχουν απτά στοιχεία να σε κατηγορήσουν πέραν από το να θεωρηθείς ύποπτος δεν θα υπάρξουν κυρώσεις εις βάρος σου (με βάση το νόμο...)

επειδή ρωτάς για γνωστά μας σκηνικά, εγώ δεν έχω ακούσει να κατηγορηθεί κάποιος επειδή ανέφερε ένα vulnerability, αντίθετα έχουν συλληφθεί άτομα για "βανδαλισμούς" σε συστήματα.(και ήταν και lamerια 8) χεεχεχε)

στο κάτω κάτω αν θες να αναφέρεις κάτι κάντο τελείως απρόσωπα. δεν είναι και ιδιαίτερα δύσκολο.

η πιο απλή και ακούραστη λύση είναι να πας σε netcafe να φτιάξεις ένα νέο mail να στήλης από εκεί το report σου και μην τον είδατε.
like ants in a colony we do our share
but there's so many other f****' insects out there || Ανανεωμένα Παρτάλια || biZfind.gr

Απάντηση

Επιστροφή στο “Επικαιρότητα & Διάφορες Συζητήσεις”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες