Comments 35
в большей части проектов ко мне обращались грубо, даже угрожали…Да, есть такое дело. В свое время тоже хотели сделать мир лучше, а интернет безопаснее — тоже рапортовали… но когда из 100 ответивших сайтов 95 как-то угрожают или чего-то требуют — энтузиазм начинает пропадать. Поэтому теперь проверяем только по инициативе владельцев.
Я все же воздержался в посте писать об вознаграждениях. Если кому-то это интересно, то я со следующим обновлением топика это добавлю.
У меня есть похожий опыт. Когда в 2011 году взломали сайт rootkit.com и несколько десятков тысяч паролей, включая мой, оказались в открытом доступе, я решил послать каждому человеку, у кого утёк пароль письмо с описанием ситуации, частью его пароля и просьбой его поменять, если он использовался где-то ещё.
Чтобы письмо не попало в спам, сгенерировал кучу *.eml файлов, импортировал в свой почтовый клиент и посылал от своих личных аккаунтов.
Даже на такое безобидное письмо примерно 5% пользователей отвечали грубостью и угрозами. Но остальные 95% ответивших — адекватные, писали «спасибо». Тогда поразило, что очень много людей написали в ответ «Thanks for the heads up», а я не мог понять, что за heads up за такой…
Чтобы письмо не попало в спам, сгенерировал кучу *.eml файлов, импортировал в свой почтовый клиент и посылал от своих личных аккаунтов.
Даже на такое безобидное письмо примерно 5% пользователей отвечали грубостью и угрозами. Но остальные 95% ответивших — адекватные, писали «спасибо». Тогда поразило, что очень много людей написали в ответ «Thanks for the heads up», а я не мог понять, что за heads up за такой…
текст письма
Hello,
you have been registred on site rootkit.com. This site was hacked recently, and all data about users(including passwords) are freely available in the Internet.
To protect yourself, you should change the password on this site.
If you are using word «пароль» as password on other sites you should change it too.
P.S. I am not from administration of rootkit.com
you have been registred on site rootkit.com. This site was hacked recently, and all data about users(including passwords) are freely available in the Internet.
To protect yourself, you should change the password on this site.
If you are using word «пароль» as password on other sites you should change it too.
P.S. I am not from administration of rootkit.com
А за heads up за такой?
«heads up» это «предостережение»
Как мне объяснили, это пришло из бейсбола, когда мяч летит в зрителей, он может больно попасть по отвлёкшемуся человеку и поэтому ему кричали «аааа, посмотри вверх, мяч летит!». Это первое его значение.
Потом это начали употреблять в переносном смысле. Скажем, если матч переносили на день, то если местная команда говорила гостевой об этом, чтобы они не пришли на пустое поле, то это «heads up».
Выражение «That was good heads-up play» значит, что игра была очень захватывающей, и зрители не отвлекались от мяча ни на секунду.
Потом это выражение стало очень широко употребляться в повседневной жизни. «Thanks for the heads-up» — значит «спасибо за информацию».
Потом это начали употреблять в переносном смысле. Скажем, если матч переносили на день, то если местная команда говорила гостевой об этом, чтобы они не пришли на пустое поле, то это «heads up».
Выражение «That was good heads-up play» значит, что игра была очень захватывающей, и зрители не отвлекались от мяча ни на секунду.
Потом это выражение стало очень широко употребляться в повседневной жизни. «Thanks for the heads-up» — значит «спасибо за информацию».
heads up
общ. предостережение (to give smb. a heads up — предостеречь; предупредить; заблаговременно сообщить Зульфухар;
give smb. heads up — употребляется БЕЗ артикля charen;
in the US, always used WITH an article («a heads up» or «a heads-up») Liv Bliss;
e.g. In the book I try to give the reader a heads up as to the pitfalls of starting a new business without adequate planning. 4uzhoj); предупреждение (Зульфухар); заблаговременное сообщение (Зульфухар); берегите голову (воскл. smblsl); бдительный;
быстро реагирующий; насторожённый; начеку; проворный
heads up!
общ. внимание!; мяч!; сверху! (возглас игрока, пытающегося привлечь внимание к летящему мячу)
воен. «поразить цель не могу» (доклад); «противник прорвался»; усилить наблюдение за воздухом! (команда)
Макаров посторонись!; берегись!; осторожнее!
сл. беспорядочный; с дороги!; будь осторожен!; спутанный
noun
an advance warning of something:
the heads-up came just in time to stop the tanks from launching the final assault
adjective
[attributive]
showing alertness or perceptiveness:
they played a very heads-up game
общ. предостережение (to give smb. a heads up — предостеречь; предупредить; заблаговременно сообщить Зульфухар;
give smb. heads up — употребляется БЕЗ артикля charen;
in the US, always used WITH an article («a heads up» or «a heads-up») Liv Bliss;
e.g. In the book I try to give the reader a heads up as to the pitfalls of starting a new business without adequate planning. 4uzhoj); предупреждение (Зульфухар); заблаговременное сообщение (Зульфухар); берегите голову (воскл. smblsl); бдительный;
быстро реагирующий; насторожённый; начеку; проворный
heads up!
общ. внимание!; мяч!; сверху! (возглас игрока, пытающегося привлечь внимание к летящему мячу)
воен. «поразить цель не могу» (доклад); «противник прорвался»; усилить наблюдение за воздухом! (команда)
Макаров посторонись!; берегись!; осторожнее!
сл. беспорядочный; с дороги!; будь осторожен!; спутанный
noun
an advance warning of something:
the heads-up came just in time to stop the tanks from launching the final assault
adjective
[attributive]
showing alertness or perceptiveness:
they played a very heads-up game
Да читают, читают ваши теги!
Было бы интересней прочитать что именно вы делаете, какие данные и куда вводите для проверки сайта. Почему такой-то результат является уязвимостью и чем грозит, а не просто «я нашел уязвимости, но их не фиксят».
Какой-то непонятный пост. В общем-то если брать тему топика, то вот отчет от Positive Technologies.
Скоро добавлю конкретики. А следующий пост будет с примеро-действиями, я надеюсь вам понравится.
Ну и как тут не вспомнить www.owasp.org/index.php/Top_10_2013-Top_10
По большому счету, любой пост с хабра можно заменить ссылкой из гугла. Это же не значит, что этих постов не должно быть?
Далеко не любой пост можно заменить линком на гугл и дело даже не в этом. Суть в том, что твой пост напрямую касается статистики и когда есть детальные анализы от owasp или от того же PT, где описаны большинство уязвимостей(у тебя же под графой «разное» опущена их большая часть, о чем я написал в своем прошлом посте) — он напрочь теряет весь конструктив. Зачем браться за сбор столь точечных статистических данных?
Читать было бы приятнее, если бы вы сами вычитали пост перед публикацией и поправили орфографические ошибки :(
Ну и конкретики не хватает, чем чревата для компании та или иная уязвимость. Я видела людей, которые требовали фиксить даже мельчийшие баги, но есть же еще баланс ресурсов, времени и потенциального вреда от этого бага.
Ну и конкретики не хватает, чем чревата для компании та или иная уязвимость. Я видела людей, которые требовали фиксить даже мельчийшие баги, но есть же еще баланс ресурсов, времени и потенциального вреда от этого бага.
За орфографию извиняюсь, скажу прямо, никогда особо не дружил с русским. Буду стараться как-то это исправить.
А насчет конкретики, я уже обновил пост, и все высказал по этому поводу! Только мне кажется, что лучше создать новый пост, потому что старый никто не прочитает, когда я его отредактирую. Сделать отсылку к этому посту. Жду ваших мнений!
А насчет конкретики, я уже обновил пост, и все высказал по этому поводу! Только мне кажется, что лучше создать новый пост, потому что старый никто не прочитает, когда я его отредактирую. Сделать отсылку к этому посту. Жду ваших мнений!
Как угрожают, какие формулировки используют?
«Вы без разрешения исследовали наш сайт. А вы знаете, что это может караться по закону? А вы знаете, что, если информация попадет не в те руки, наша репутация пострадает?» — ну и всяческие подобные вопросы.
«Да мы на вас в суд подадим!!11, Да мы заявление в полицию напишем!» — с пеной у рта пишут мне манагеры некоторых проектов…
«Да мы на вас в суд подадим!!11, Да мы заявление в полицию напишем!» — с пеной у рта пишут мне манагеры некоторых проектов…
А вы знаете, что это может караться по закону?
А это действительно может караться по закону? Если нет — думаю что вам стоило бы привести письма с указанием адресатов.
вы же понимаете, что ставить такие эксперименты без ведома и согласия на то владельцев, как минимум, не очень-то культурно. я верю, что мотивы автора вполне чисты и закон это, несомненно, учтет при вынесении приговора))
серьезно, не смотря на всю научную и просветительскую пользу такого мероприятия, активное тестирование может приводить к реальным сбоям, простоям и всяческим потерям. автор должен понимать, что «бросая камни в витрины» в случае чего (тфу-тфу-тфу, конечно), виновным в причинении ущерба будет именно он. т.е. при неблагоприятном стечении обстоятельств сайту ни чего не будет и автору будет не о чем особо дальше писать, а в случае успеха владельцы ресурса получат халявный аудит и реальный ущерб, а автор — заслуженную славу и административную (в лучшем случае) ответственность.
серьезно, не смотря на всю научную и просветительскую пользу такого мероприятия, активное тестирование может приводить к реальным сбоям, простоям и всяческим потерям. автор должен понимать, что «бросая камни в витрины» в случае чего (тфу-тфу-тфу, конечно), виновным в причинении ущерба будет именно он. т.е. при неблагоприятном стечении обстоятельств сайту ни чего не будет и автору будет не о чем особо дальше писать, а в случае успеха владельцы ресурса получат халявный аудит и реальный ущерб, а автор — заслуженную славу и административную (в лучшем случае) ответственность.
Не вижу csrf, xxe, lfi/rfi, file disclosure, code evalution, code execution, full path disclosure и тд. Неужели все это добро поместилось в маленький столбик «разное»?;)
Частенько и мне рапортуют о уязвимостях.
Когда рапорт приходит в виде «у вас уязвимость в поиске, впишите… и убедитесь сами». В таком случае я сам спрашиваю у человека реквизиты какой либо платежной системы и перевожу вознаграждение за поиск.
Но бывают и уникалы. Которые начинают хамить/угрожать/требовать миллион если находят даже безобидную xss. В таких случаях сам нахожу уязвимость а уникалов отправляю лесом.
Когда рапорт приходит в виде «у вас уязвимость в поиске, впишите… и убедитесь сами». В таком случае я сам спрашиваю у человека реквизиты какой либо платежной системы и перевожу вознаграждение за поиск.
Но бывают и уникалы. Которые начинают хамить/угрожать/требовать миллион если находят даже безобидную xss. В таких случаях сам нахожу уязвимость а уникалов отправляю лесом.
Малоинформативный пост. Указывать адреса конкретных сайтов нужды нет, а вот входные данные, которыми Вы тестировали на наличие той, или иной уязвимости привести следовало бы, а то уязвимость — вещь растяжимая, векторов атаки под одну и ту же уязвимость может быть масса.
Вот, например, как именно Вы искали sql-inj? Лично мне кажется, что 80% тех же sql-inj Вы просто не нашли.
Вот, например, как именно Вы искали sql-inj? Лично мне кажется, что 80% тех же sql-inj Вы просто не нашли.
Прочитал заголовок, тщетно пытался найти в статье что-то про статистику посещаемости сайтов и то как она понижает безопасность. Просмотрев раза три по диагонали, заметил-таки в заголовке запятую.
А вот если бы сначала читал теги все бы сразу понял))
А вот если бы сначала читал теги все бы сразу понял))
Sign up to leave a comment.
Типичные уязвимости на сайтах, со статистикой