Wie können Sie einem Webentwicklungsteam in Ihrer eigenen Firma am besten eine Sicherheitslücke präsentieren?

Question

Stellen Sie sich folgendes Szenario vor:

Sie bei Big Co. arbeiten und Ihre Mitarbeiter auf dem Flur befinden sich auf der Web-Entwicklungs-Team für öffentliche Blog-System Big Co, die eine Menge von Big Co Mitarbeiter und einige öffentliche Menschen nutzen . Das Blog-System erlaubt jedes HTML und JavaScript, und Ihnen wurde gesagt, dass es eine Wahl war (nicht zufällig), aber Sie sind nicht sicher, ob sie die Implikationen davon erkennen.

Also wollen Sie sie davon überzeugen, dass dies eine schlechte Idee ist. Sie schreiben einen Democode und fügen ein XSS-Skript in Ihrem eigenen Blog ein und schreiben dann einige Blogposts. Bald darauf besucht der Chef-Blog-Administrator (im Flur) Ihren Blogpost und das XSS sendet Ihnen seine Cookies. Sie kopieren sie in Ihren Browser und Sie sind jetzt als er eingeloggt.

Okay, jetzt bist du eingeloggt als er ... Und du fängst an zu erkennen, dass es vielleicht keine so gute Idee war weiterzumachen und das Blog-System zu "hacken". Aber du bist ein guter Typ! Du berührst sein Konto nicht, nachdem du dich angemeldet hast, und du planst definitiv nicht, diese Schwäche zu veröffentlichen; Sie möchten ihnen vielleicht nur zeigen, dass die Öffentlichkeit in der Lage ist, dies zu tun, damit sie es beheben können, bevor jemand böswilliges das Gleiche realisiert!

Was ist die beste Vorgehensweise von hier?

Answer 1

Immer wenn ich ein Sicherheitsproblem sah, das von unserem internen IT-Team in der Vergangenheit behoben werden musste, erkläre ich ihnen einfach, was das Problem ist und was man tun kann, um es zu nutzen.

Je nachdem, wie sensibel sie sind und welche Bedeutung sie bei ihnen/Ihrem Unternehmen haben, kann der Proof-of-Concept-Code eine gute Idee sein. Wenn sie Grund zu der Vermutung haben, dass Sie es böswillig benutzen, würde ich es für mich behalten. Ansonsten, wenn sie es zu schätzen wissen, teilen Sie es.

Das ist der einzige sensible Bereich. Kommuniziere das Thema verantwortungsbewusst so, dass klar ist, dass du dich nur um Sicherheitsprobleme sorgst und nicht darauf ausgibst, sie auszunutzen.

Answer 2

hängt wirklich von Ihrer Position in der Firma, die Art der Leute auf dem Flur etc. etc ....

eine Option zu präsentieren:

ihnen Spaziergang über, beschreiben die Bedrohung in abstrakten Begriffen ("jemand könnte deine Kekse entführen, die wiederum ...") und sie fragen, ob sie eine Demonstration sehen möchten? Wenn große Egos im Spiel sind und Sie wirklich wollen, dass sie es beheben, sprechen Sie nicht mit dem ganzen Team, sondern nur mit dem Teamleiter.

Wenn sie zustimmen, warten Sie ein paar Stunden, und kommen Sie wieder als "ihn" eingeloggt, und tun etwas zerstörungsfrei, aber auffällig im System - Sie taten dies mit ihrer Erlaubnis. Sie werden wahrscheinlich beeindruckt sein und dafür sorgen, dass das Loch repariert wird.

Wenn sie nicht zustimmen und Ihnen sagen, gehen Sie weg, nun, Sie müssen Ihre Optionen abwägen: Entweder nehmen Sie es irgendwo höher, oder Sie begraben es. Wenn Sie das Problem erwähnen, haben Sie alle Möglichkeiten aufgegeben, es anonym zu senden.

Wenn Sie nicht 100% ig sicher sein können, dass jeder in der Entscheidungskette vernünftig ist und völlig versteht, was Sie tun, und dass es zum Wohle des Unternehmens ist, würde ich keinen Rogue-Hacking machen "- immer zuerst darüber reden, vor allem in einer großen Unternehmensumgebung.Dieses Zeug ist zu leicht zu missverstehen, als bösartig an Ihrem Ende - vor allem, wenn es jemanden gibt, der sich schämen wird, dieses Sicherheitsloch zu bauen, und jemandem die Schuld geben möchte.

Answer 3

Jeder konzentriert sich auf das Problem der Website zu beheben, und vielleicht bin ich nur ein wenig Machiavellian, aber ich würde auch darüber nachdenken sicherzustellen, dass meine Einwände schriftlich festgehalten wurden; Ich würde eine E-Mail an einige meiner Vorgesetzten schreiben.

Das letzte, was Sie brauchen, ist die Seite auszunutzen, und der Entscheider kommt herum und besteht darauf, dass es Ihr Job (oder der Job Ihres Kumpels) ist, diesen technischen Aspekt zu berücksichtigen, und Sie finden niemanden, an den Sie sich erinnern.

Answer 4

Ich denke, Sie haben Ihre Rolle überschritten. Während XSS-Schwachstellen ein ernstes Problem darstellen, haben Sie, wenn Sie in Ihrer Organisation nicht in der Rolle der Informationssicherheit tätig sind, wirklich keinen Einbruch in die Arbeitsweise der Entwicklungsorganisation in der Halle.

Es gibt keine absolute Sicherheit, aber ich stelle mir vor, dass die Leute, die das Blog-Projekt beaufsichtigen, in der Nacht ruhig bleiben und wissen, dass wenn Mitarbeiter die Technologie missbrauchen, sie durch Protokolle verfolgt und entsprechend behandelt werden können.

Wenn Sie bösartigen Code geschrieben haben, "um dies zu demonstrieren" ohne ihre Zustimmung, ist es eine ziemlich ernste Aktion ohne Genehmigung und ich könnte mir vorstellen, dass Ihre Vorgesetzten das gleiche Gefühl hätten.

Answer 5

Sie haben drei praktikable Möglichkeiten:

1. Sprechen Sie mit dem Web-Team.

2. Sprechen Sie mit Ihrem eigenen Chef.

3. Ignorieren Sie es.

Ich glaube, ich beide gehen würde, für 1 und 2

Answer 6

Dies ist alarmierend Verhalten. Wenn sie die einfachsten Sicherheitslücken wie XSS nicht verstehen, müssen sie gefeuert sein. Dies liegt nicht an einer einzelnen Sicherheitslücke, das ist einfach albern. Sie sollten gefeuert werden, weil sie die Sicherheit nicht verstehen und ich habe keinen Zweifel, dass sie für serösere Schwachstellen in das System eingeführt haben. Wenn sie diese Textbuch XSS-Ausgabe nicht bekommen, was ist mit CSRF? Sie werden denken, du bist verrückt!

Das Verständnis der Auswirkungen Ihres Codes auf die Sicherheit ist eine absolute Voraussetzung. Ohne dies ist dann der Programmierer nur eine Haftung.