Credit: 海綿寶寶
靈感來源:UCCU Hacker
故事又來到了小紅,小紅從學生時期就很喜歡到處找漏洞,
那麼找漏洞當然不是拿來做黑產,找到漏洞小紅也會做漏洞通報,
從來不脫庫、偷資料,可謂是一個優良道德駭客。
而這個故事是發生在協助漏洞通報與對方時發生的對話,
小紅:「我是 OOO 單位,寄這封信是因為貴單位的 ### 網頁有!@#$%漏洞」
對方:「說吧,你們要多少錢才不會打我們」
小紅:「???我想你是誤會了唷,我們並不是黑客」
對方:「不是黑客怎麼會測試我們網站!還找我們網站漏洞」
小紅:「(開始解釋漏洞通報是什麼)」
對方:「講那麼多,我們又不會修,反正你們不要公開漏洞就好了阿」
小紅:「不是這樣講,就算我們不公開,漏洞還是在哪邊,真正的黑客還是會打你們的」
對方:「還說你們不是勒索!不管,這個我不會修如果我發現這個漏洞被公開或是被攻擊,我會告你們!」
上面故事中的對話或許覺得很瞎,但身為資安人員的你要想的是,
你在這種情況下該如何讓對方更好的了解你的善意,當然這本故事中小紅已經盡最大善意,
最後故事其實是圓滿落幕的,對方默默地兩個禮拜後修掉漏洞。
雖然故事中我們看到受測單位拒絕修補,小紅的人物設定是一位好駭客,
避免人家三不五時就說要告你的麻煩,請看一下這張圖
靈感來源:UCCU Hacker
在實際我們在外面找有漏洞的網站,我們還是優先找有 bug bounty 或是有開放資安測試的,原因是因為我們如此我們可以規避許多麻煩的法律,並且在合理的測試範圍中協助測試獲得獎勵。
如果要在沒有明確規定/bug bounty的網站,做測試請保護好自己,也不要讓對方的服務癱瘓/異常,甚至是嘗試偷取資訊,這些通通都有機會被告的。在筆者的經驗,有些屁孩駭客左手偷別人資料,右手又做資安通報以為神不知鬼不覺,其實都被後來的調查人員看在眼裡。
而企業也應該擁抱這種漏洞通報,畢竟這些人是抱持一個善良的心態協助你讓你的資安更好,畢竟你的產品也可能肩負著這些通報人員的親朋好友的資料,大家一起讓資安變得更好!
iThome鐵人賽
看影片追技術