Credit: 海绵宝宝
灵感来源:UCCU Hacker
故事又来到了小红,小红从学生时期就很喜欢到处找漏洞,
那麽找漏洞当然不是拿来做黑产,找到漏洞小红也会做漏洞通报,
从来不脱库、偷资料,可谓是一个优良道德骇客。
而这个故事是发生在协助漏洞通报与对方时发生的对话,
小红:「我是 OOO 单位,寄这封信是因为贵单位的 ### 网页有!@#$%漏洞」
对方:「说吧,你们要多少钱才不会打我们」
小红:「???我想你是误会了唷,我们并不是黑客」
对方:「不是黑客怎麽会测试我们网站!还找我们网站漏洞」
小红:「(开始解释漏洞通报是什麽)」
对方:「讲那麽多,我们又不会修,反正你们不要公开漏洞就好了阿」
小红:「不是这样讲,就算我们不公开,漏洞还是在哪边,真正的黑客还是会打你们的」
对方:「还说你们不是勒索!不管,这个我不会修如果我发现这个漏洞被公开或是被攻击,我会告你们!」
上面故事中的对话或许觉得很瞎,但身为资安人员的你要想的是,
你在这种情况下该如何让对方更好的了解你的善意,当然这本故事中小红已经尽最大善意,
最後故事其实是圆满落幕的,对方默默地两个礼拜後修掉漏洞。
虽然故事中我们看到受测单位拒绝修补,小红的人物设定是一位好骇客,
避免人家三不五时就说要告你的麻烦,请看一下这张图
灵感来源:UCCU Hacker
在实际我们在外面找有漏洞的网站,我们还是优先找有 bug bounty 或是有开放资安测试的,原因是因为我们如此我们可以规避许多麻烦的法律,并且在合理的测试范围中协助测试获得奖励。
如果要在没有明确规定/bug bounty的网站,做测试请保护好自己,也不要让对方的服务瘫痪/异常,甚至是尝试偷取资讯,这些通通都有机会被告的。在笔者的经验,有些屁孩骇客左手偷别人资料,右手又做资安通报以为神不知鬼不觉,其实都被後来的调查人员看在眼里。
而企业也应该拥抱这种漏洞通报,毕竟这些人是抱持一个善良的心态协助你让你的资安更好,毕竟你的产品也可能肩负着这些通报人员的亲朋好友的资料,大家一起让资安变得更好!
>>: Day 3: 人工智慧在音乐领域的应用 (各层面的应用二)
Okay! 了解 fork 跟 pull request 的运作原理後,接下来我们来谈谈 Flow ...
Hello, 各位 iT邦帮忙 的粉丝们大家好~~~ 本篇是 Re: 从零开始用 Xamarin 技...
https://codepen.io/pwbzvqja/pen/edea6afd0a79c662e...
大纲 1. 不只有一个 expression 的 macro 2. 使用 code block 解决...
前言 专案管理是一门很深的学问,也不只是软件业,各行各业都有,最早是来自土木建筑、国防领域。 牵扯到...