web-dev-qa-db-ja.com

セキュリティの脆弱性を報告する必要がありますか?

脆弱性スキャナーを使用してサイトをスキャンしたところ、CVVスコアが10の脆弱性が見つかりました。レポートを会社に送信する必要がありますか?

25

クイックノート:この回答は、Webサイトに対してスキャナーを実行する権限があることを前提としています。 Webサイトに対してスキャナーを実行することは、基本的にすべての管轄区域で違法であるため、そうしている場合、私の唯一の提案は "STOP!"です。

してはいけないこと

スキャナーから企業に脆弱性レポートを送信しないでください。それらの時間の90%はそれ自体では役に立たず、有能なセキュリティチームによって無視される可能性があります。その理由は、スキャナーが誤検知をいくつも持つ可能性があるため、脆弱性スキャナーからの陽性が実際に脆弱性があることを意味するわけではありません。ただし、新しいバグバウンティテスターが脆弱性レポートをスキャナーから企業に送信するのは、そのレポートの内容が正しいかどうか、または適用可能かどうかを理解せずに行うのが一般的です。その結果、セキュリティチームは、スキャナーから直接送信されたレポートを無視することがよくあります。ほとんどのバグ報奨金プログラムは特にこれを述べています。

あなたがすべきこと

代わりに、時間をかけて自分で脆弱性レポートを生成する必要があります。つまり、脆弱性の性質、発見を確認するために実行できる手順、脆弱性が企業にもたらすリスク、および場合によっては実行可能な手順についても説明します。危険を軽減します。それを会社に送るべきであり、そのようなものを送ることはほとんど常に良い考えです。

これが公開バグ報奨金プログラムを持たない会社である場合、彼らはスキャナーからのレポートを理解することができる可能性がさらに低くなるので、時間をかけてより重要になるでしょう。脆弱性、ビジネスへの影響、その深刻度の推定、および推奨される軽減手順を詳述した実際の脆弱性レポートを提供します。明らかにそれはあなたがいる状況ではありませんが、明示的な承認なしにウェブサイトで自動化されたセキュリティスキャンを実行することはほとんどの管轄区域では違法であり、一般に悪い考えです...

tl/dr:

スキャナーから会社に結果を送信する必要がありますか? いいえ、それはしばしば役に立たないので。あなたがすべきことは、スキャナーが誤検知を報告していないことを確認してから、脆弱性、それを再現するために何ができるか、その影響の説明、および推奨される軽減手順を詳述したレポートを送信することです。あなたは明らかにすべきではないどのような状況でもシステムに「ハッキング」します。

46
Conor Mancone

悪意のあるものと解釈される可能性のある脆弱性スキャンまたはその他のアクティビティのいずれかをルール化します。最初に上級管理者によって署名された書面による許可を取得します。未承諾の「脆弱性スキャン」はハッキングの試みと区別がつきません。一般的なツールを使用していて、スマートモニタリングが行われている場合、そのスキャンを検出し、IPアドレスをログに記録します。そして、あなたが発見した脆弱性の不明瞭なレポートは、脅威と区別がつきません。運が良ければ、彼らのサイトに共通のバグが存在するということは、彼らが適切に監視していないことを意味するかもしれません。しかし、そのような会社はmore彼らがハッキングすると脅迫していると思っていても、警察に電話する可能性があります。

このように考えてみてください。ある日、見知らぬ人がランダムにウィンドウのロックを解除したことを知らせます。彼または彼女は彼らがあなたの家に入らなかったことを誓います。あなたは感謝していますか、それともこの人があなたの窓を試したのはなぜだと思いますか?

悲しいことですが、これが今日の世界の現実です。最も賢明なオプションは何もしないことです。今日、脆弱性スキャンについて何か学んだことを考慮して、次に進んでください。

41
Gaius

ホワイトハットかブラックハットになりたいですか?答えは、あなたがどの国にいるのか、会社がどの国にあるのかに基づいて適用される法律によっても異なります。

いつも大丈夫なこと

責任ある開示プロセスを使用して、調査結果を会社に開示します。

会社に脆弱性報告プロセスがあるかどうかを確認します。まず、https://company.com/.well-known/security.txtがあるかどうかを確認します。そうでない場合は、周りを検索して、このようなことを報告するためのセキュリティ電子メールアドレスがあるかどうかを確認します。

会社と直接取引できない場合、またはしたくない場合の別のオプションは、 S Cert のような仲介者を通じて報告することです。

ここで、会社に真剣に取り組んでもらいたい場合は、問題、再現手順、アプリケーションへの影響の広さ、攻撃によって引き起こされる可能性のある損害とその内容を明確に説明する必要があることも明記してください。修正する必要があります。スキャナーからレポートを送信するだけの場合、彼らはあなたを無視するか、悪いことに弁護士をあなたの後に送ります(以下を参照)。

時々大丈夫なこと

会社に通知せずに結果を公開してもよい場合があります(たとえば、CVEを提出するか、ブログ投稿、githubリポジトリを作成するなど)。

脆弱性の種類と重大度によっては、会社がそれを修正する前にハッキングされた場合、最終的にはこれよりも多くの損害が発生する可能性があります。

「大丈夫なこと」には、最初にスキャナーを実行することが含まれます。あなたがそうするために雇われるか、またはバグ報奨金プログラムがない限り、それはハッキングの試みとして解釈されるかもしれません。 (@EsaJokinenに感謝)。簡単なgoogle-searchは、許可なしに「セキュリティ調査」を行うと、感謝を得るのと同じくらい刑務所に入る可能性が高いことを示しています。

セキュリティスキャナーで他の誰かのWebサイトにアクセスすると、大きな問題が発生する可能性があります。実行する前に、法的な影響を理解しておいてください。

大丈夫ではないこと

自分でウェブサイトをハッキングする。

これは、これに関する法律があるすべての国で間違いなく違法です。

あなたは多くを失う可能性があるので、このアプローチを取ることは非常に注意してください、そして私はあなたが何かを得ると確信しません(少なくともホワイトハットの観点から)。

20
Mike Ounsworth