黑客攻击和利用--你如何处理你发现的任何安全漏洞？

Question

今天，在线安全是一个非常重要的因素。许多企业完全是基于在线的，只有通过使用web浏览器，才能查看大量的敏感数据。

为了获取保护我自己应用程序的知识，我发现我经常测试其他应用程序的漏洞和安全漏洞，可能只是出于好奇。随着我对自己的应用程序的测试、零日漏洞的阅读和The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws一书的阅读，我在这个领域的知识不断扩大，我逐渐意识到大多数在线web应用程序确实暴露在许多安全漏洞中。

那么你是做什么的？我没有兴趣破坏或破坏任何东西，但我在黑客攻击上最大的“突破”是我决定通知页面的管理员。我的询问很快就被忽略了，安全漏洞还没有修复。他们为什么不想修呢？有恶意的人要多久才会闯入客栈并选择毁掉一切？

我想知道为什么这些天没有更多的关注这一点，我认为在实际提供测试web应用程序的安全缺陷方面会有很多商业机会。是不是只有我有太大的好奇心，还是有其他人也有同样的经历？在挪威，试图侵入网页是会受到惩罚的，即使你只是检查了源代码，找到了“隐藏的密码”，用它登录，你已经触犯了法律。

Answer 1

“我发现我经常测试其他应用程序的漏洞和安全漏洞，可能只是出于好奇心。”

在英国，我们有“计算机滥用法案”。现在，如果您正在“查看”的这些应用程序是基于Internet的，而ISP的相关人员可能会费心去调查(纯粹出于政治动机)，那么您就是在自找麻烦。即使是做最轻微的“测试”，除非你是BBC，否则就足以让你在这里被定罪。

即使是渗透测试机构也需要由希望承担正式工作的公司签字，以便为其系统提供安全保证。

为了预计报告漏洞的难度，我与实际雇主进行了接触，其中提出了一些相当严重的问题，人们已经对此坐视不理了几个月，从品牌受损到甚至完全关闭运营以支持每年1亿on的E-Com环境。

Answer 2

我曾经在一家在线有声读物商店中报告过一个严重的身份验证漏洞，该漏洞允许您在登录后切换帐户。如果我应该报告这件事，我也很谨慎。因为在德国，黑客行为也是被法律禁止的。所以我匿名报告了这个漏洞。

答案是，尽管他们不能自己检查这个漏洞，因为软件是由母公司维护的，但他们很高兴我的报告。

后来我得到了回复，他们确认了漏洞的危险，现在已经修复了。他们想再次感谢我的这份安全报告，并给了我一张iPod和有声读物作为礼物。

因此，我确信报告漏洞是正确的方式。

Answer 3

我通常会联系网站管理员，尽管他们几乎总是这样回答：“天哪，你破坏了我的javascript页面验证，我要告你。”

人们只是不喜欢听到他们的东西坏了。