web-dev-qa-db-ja.com

脆弱性を主張するホワイトハッカーをどのように進めるのですか?

私は最近、Hackenproofメンバーであると主張する誰かから連絡を受けた小さな会社のセキュリティメンバーです。彼らは、googlebot(メタデータ、シンページコンテンツ、アンカーテキストの問題)およびXSS脆弱性によってインデックスに登録されている私たちのウェブサイトについて報告していました。

VDP(脆弱性開示ポリシー)に関して私が知っている法的声明はまだありません。

私の質問:

  1. 基本的にどのように進めるか、あるいは私たちがすべきか? (合法ですか?)
  2. 白いハッカーからの一般的な期待は何ですか?
  3. 脆弱性を検証する方法は?
disclosurebug-bountywhite-hat
82
Vcode

それぞれの質問に答えるには:

1.基本的に、どのように進めるべきか、それとも私たちはすべきか

続行することをお勧めします。あなたはあなたの会社のセキュリティを向上させるためにすぐに置くことができる貴重な情報を得ることができるでしょう。研究者があなたに送ったものを私たちに伝えていませんが、彼らは脆弱性の説明またはそれを再現する方法を持っています。続行するには、それらから必要になります:

  • 見つかった脆弱性の説明/攻撃シナリオ。なぜこれが問題なのか、攻撃者が実行できないはずのバグを具体的にどのようにしてバグに許可するのか、最悪のケースのシナリオ/発見の重大度は何ですか。

  • 再現手順。どのような手順をエンジニアに与えて、毎回バグを再現させることができますか。

  • ハッカーが見返りに探しているもの。言及されたように、それは固定またはお金の後に発見を発表する許可であるかもしれません。

  • また、研究者からの修復アドバイス、リスクスコアなどを希望する場合や、受け取る場合もあります。

非常に重要:問題が修正されるまで、問題を秘密にしておくことを期待することを研究者に明確に伝えます。彼らは修正ウィンドウで対抗することがあります。例えば問題が60日以内に修正されない場合、彼らは記事を発行します。これは一般的な方法であり、強力なセキュリティ体制を備えているほとんどの企業に受け入れられるはずです。

2.白い(ハット)ハッカーからの一般的な期待は何ですか?

研究者に依存しますが、彼らはそれが修正されたら、結果を公開する許可と金銭的報酬を望みます。特典価格は、バウンティプログラムの全体的な重大度とサイズに基づいています。大きなバグ報奨金プラットフォームであるHackeroneには、会社/報奨金プログラムの規模に応じた支払いを示唆するマトリックスがあります。 https://www.hackerone.com/resources/bug-bounty-basics 。支払い価格の決定は微妙な芸術です。ハッカーワンまたは他のバグ報奨金プラットフォームで同様のバグを検索し、同じ問題に対して他の会社が支払っているものに基づいて支払いを行うことをお勧めします。

繰り返しになりますが、研究者が抱く一般的な期待は、それまでに修正されているかどうかに関係なく、一定の時間内に結果を公開できることです。 60日が一般的ですが、その期間内に会社が納品できるかどうか確信が持てない場合は、時間に同意しません。問題にパッチが適用された後、ハッカーは修正が正しく実装されたことを検証したい場合があります。

3.検証方法は?

ハッカーがあなたに与えた再現手順を使用してください。それらは、エンジニアが手順を正確に実行してバグを再現できるように十分に明確でなければなりません。ここに問題がある場合は、研究者に戻って説明を得ることができます。バグの概要と特定を行う再現手順を会社に提供するのは、研究者の責任です。

問題が修正されたら、研究者を招待して修正を検証し、完全にパッチが適用されたことを確認できます。

64
Buffalo5ix

Hackenproofは誰でも登録できるWebサイトのように見えるため、Hackproofのメンバーであると言うことは、Facebookのメンバーであると言うことと同じです。これは排他的なハッカーグループではありません。

あなたの会社、あなたのビジネス、バグ、そしてホワイトハットはすべて大きく異なるため、このような状況に進むための正式な標準的な方法はありません。 1つのサイズですべてに対応できるわけではありません。

一般に、注意が必要ですが好奇心が強い方がよいでしょう。注意が必要ですが、偏執狂や復讐心は持ちません。ホワイトハットに内部情報を提供しないでください。ほとんどまたは何も明らかにしないで、できるだけ多くの情報を前もって取得してください。これらの人々の多くは、自分の専門知識を示すために話したいと思っています。彼らにそうさせなさい。情報が一方向にしか流れない場合に起こり得る害はほとんどありません。ソースコードまたは問題の詳細な説明を彼/彼女に尋ねてください。次に、コード/説明を分析し、独自のエクスプロイトを記述し(ホワイトハットコードをコンパイルまたは実行しないでください)、それをテストインスタンスに対して実行します。できれば、他の環境から可能な限り隔離します。

各当事者の責任に関する限り、最近のハットハッカーであると主張するほとんどの人々は責任ある開示を実践し、修正されるまでバグを世界中に公開しません。あなたの責任は、妥当な時間内(数年ではなく数週間)にバグを修正することです(深刻な場合)。あなたの会社が報奨金を提供している場合、バグが基準を満たしていれば支払われます。そうでない場合、ホワイトハットはそれらが支払われない可能性が高いことを受け入れる必要がありますが、妥当な時間内に修正されない場合、バグが一般にリリースされる可能性があることを受け入れる必要があります。

61
Steve Sether

ここに厳格な規則があることは知りません。これをゲーム理論として扱いましょう:

研究者が望んでいること

通常:

  • CVEや研究論文など、発見に対する公的信用。
  • 時にはバグバウンティの形でお金。

あなたが欲しいもの

通常:

  • 公に屈辱を与えることはできません。
  • 製品のセキュリティを向上させるため。

どうやって進める

ゲーム理論の観点から見ると、双方にとって有利な状況とは、彼らがあなたに詳細を開示し、あなたがそれを修正し、そして彼らが彼らの公的信用を得ることです。研究者との電話を設定し、デモを依頼する必要があります。あなたは多くを獲得し、何も失うことはありません。詳細を表示する前に、研究者はNDAまたは最後にクレジットを確実に取得できるようにする他の法的契約を希望する場合があります。

49
Mike Ounsworth

私も彼らがこれにかなり新しい可能性が高いことに注意する価値があるかもしれません、たくさんの「プロ」がいます、そしてそれがあなたが生計を立てている方法であるならば、あなたはプロセスを持っているでしょう、しかしそれは通常会社との何らかの合意を含みます以前あなたは仕事を始めます。しかし、それでも会社や仕事の種類によって異なります。

これは、私にとっては愛好家のように思えます。男と話すことで失うものは何もないのではないでしょうか。彼は非現実的な期待を持っているかもしれませんが、あなたは何を失いますか?

余談ですが、このご愛顧を申し訳ありませんが、私はそれを言わなければならないように感じます:これは、少なくともあなたが「持っていた」ことへの道となることを意図していると考えられます。「あなたの実装の詳細のいくつかについて簡単にチャットできますかシステム」は、おそらく「ノー」と言うべきものです。 さえ 特に彼らがにんじんを提供する場合は。

1
ANone

コメントで誰かが言ったことをエコーするには、詐欺や恐喝を排除して試すのは公正なことです。考慮すべき点がいくつかあります。

  • 情報への対応として支払いについての言及はありますか-なんらかの「管理費」でさえありますか?既存のバグ報奨金がないと仮定すると、正当な研究者はお金を要求することはほとんどありません-彼らはバグを修正し、それを見つけるための信用を得る能力を望んでいます。金銭を要求することは、恐喝の試みと見なすことも、せいぜい非倫理的なことと見なすこともできます。

  • 漠然と再現するための手順は、再現を支援できないほどのものですか?エンジニアに早期に調査を依頼して、自分が何を持っているかを正確に把握し、軽微であっても脆弱性があることを確認します。あなたが通常の慣習に従っているにもかかわらず、彼らは詳細を与えるのに少し消極的ですか?何をしても、脆弱性が曖昧で未確認のままである場合、正当なレポートを処理していない可能性があります。

  • 彼らはあなたのソフトウェアがどのように機能するかについての情報、あるいはあなたの会社やビジネスについての情報さえ知りたがっているように見えますか?

  • その人があるグループを代表していると主張する場合、彼らが実際にそうしていることを確認できますか?

続行するための通常の方法は、バグを修正することにコミットしていることをレポーターに保証し、修正を出荷するための時間枠を与えます(彼らは彼らが望む時間枠をすでに指定しているかもしれませんが、それが不合理であると思われる場合は交渉してください)彼らは公開することができます。または、彼らが再テストして脆弱性がまだ何らかの形で存在していることを発見した場合に備えて、後で猶予期間を求めることができるかどうかを確認してください。

報酬でお金を与えることは、少し倫理的なジレンマですが、一方で報酬を与えるのは良いことですが、他方で、バグの報奨金がない場合は、脆弱性を見つけて支払いを期待する習慣を奨励するリスクがあり、これは間もなくやってきます黒い帽子の行動に。繰り返しになりますが、たとえあなたがいくらかを与えるつもりであるとしても、彼らが最初にお金の問題を持ち出した場合は注意してください。ただし、そうする場合は、何らかの正式なバグ報奨金プログラムを設定した方がよいでしょう。

0
thomasrutter