可能重复:
如何以合乎道德的方式披露安全漏洞?
报告易受攻击的网站
我发现了一个安全漏洞,使我能够将资金转入我的帐户。
我现在应该怎么办?发现错误的公司是否会向我支付报酬?我应该在他们告诉我他们为那个错误付给我多少钱之前或之后向他们报告那个错误吗?
我应该写信给他们Customer care或Sales他们的邮件地址吗?无论如何我应该告诉他们什么?
我是否可以在不提供详细信息的情况下分享该错误的存在?
问题是我是未成年人,所以我对这一切一无所知,而且我也担心他们不相信我,因为我的年龄。
我最终做了什么: 我只是给他们发了一封带有错误的邮件,当时没有告诉任何成年人这件事。很快修复了这个错误并给了我一个非常小的赏金,当时价值大约 200 美元。
我今天要做什么: 现在我不再是未成年人了(哦,我已经老了)。我会通过渗透测试公司或类似的公司联系他们,询问他们是否有兴趣让我们检查他们的系统。告诉他们如果我们找不到任何东西并通过它披露错误,他们就不必支付任何费用。如果他们拒绝,如果做得好,他们通常不会,我会匿名与他们联系并披露错误。
您不太可能从这个错误中合法地赚钱。如果你正在考虑一些从中赚大钱的计划:走开,休息一段时间。如果您试图为报告漏洞而要求赔偿,那么您将因黑客攻击或敲诈勒索而受到起诉的重大风险。
请注意,在美国,黑客行为是非法的。法律非常广泛,禁止许多人可能没有意识到是非法的各种事情。我不知道你是如何发现这个错误的,但我担心你现在采取的行动(例如,发现错误)可能是非法的。如果您发现漏洞的行为违反了法律,甚至可以说是违法的,并且如果您激怒了公司或通常表现得像个混蛋(例如,要求赔偿),他们可能会打电话给联邦检察官并说服检察官指控您违反联邦法律。你真的不想处于那个位置。
一般来说,公司很少会补偿向他们报告安全漏洞的人。一些公司(例如,谷歌)有“漏洞赏金”计划,他们承诺向根据他们的计划向他们报告严重漏洞的人支付几百或几千美元。但大多数公司不会做这样的事情。
一般来说,这是我的建议:
您是否曾经入侵或试图入侵此网站?您是否尝试过任何可能被描述为未经授权的访问或试图攻击该站点的事情?(例如,输入单引号以查看是否易受 SQL 注入攻击,发送<以查看是否易受 XSS 攻击等)如果是,请到此为止。不要自己向他们透露漏洞。放弃任何赚钱的念头。如果您想做道德上正确的事情,您可以联系您信任的成年人,并要求他们代表您报告漏洞,而无需透露您的身份——但不要指望任何付款。
如果您确信您从未做过任何可能被描述为试图获得未经授权的访问或以其他方式攻击该网站的事情,并且您确信您所做的任何事情都不会被视为违反联邦法律(例如,CFAA) ,那么您可以考虑如何将漏洞报告给站点,如果您愿意的话。但不要指望能从中赚到钱。不要求赔偿。不要威胁。不要要求赔偿作为披露错误的条件。不要指望赔偿。如果您这样做是为了赚钱,请停下来:把它放在一边,因为您不想被指控敲诈勒索,而且您失去的比得到的要多得多。
如果你想披露这个漏洞,我会试着找一个你信任的人,他在专业的商业环境中工作了很多年。请他们帮助您披露漏洞。请他们帮助您写一封描述该漏洞的信函或电子邮件。(我会以书面形式披露漏洞,例如电子邮件、书面信函,而不是通过电话或亲自。)此外,在执行任何此操作之前,请让他们阅读此主题以及本网站上的以下主题:
哪些公司通过支付漏洞来换取漏洞披露? (但我怀疑他们会为网站的漏洞买单;很少或根本没有买家)
我建议让其他人帮助您披露这一点的原因是因为存在很大的误解机会。您希望有在商界工作过的人帮助您撰写这封信,确保它得到认真对待,并确保公司不会将您视为威胁,并开始以诉讼或起诉的威胁来追捕您。大公司的整个法律部门都有律师,他们的存在只是为了保护公司的财务利益。如果他们认为您是一种威胁,他们可能会使用他们拥有的所有法律资源来阻止您让公司难堪。在商业环境中拥有更多经验的人可以帮助您保护自己。
但是,底线是:检查你的动机。向公司报告漏洞的唯一原因是因为“这是正确的做法”并且是为了他人的利益。你不可能靠这个赚钱,我不敢这么说。如果您发现您这样做是为了赚钱,请停止;去做别的事。如果您这样做是为了赚钱,那么风险太高,以至于您会发现自己受到诉讼、刑事起诉或其他不仅会阻止您赚钱,还会让您的生活陷入困境的事情。还有太多其他案例,安全研究人员因“黑客攻击”而被起诉,而他们只是试图报告或公开安全漏洞(甚至没有试图利用它来获取经济利益)。
PS 这里是Dan Kaminsky 的非正式的、不可太严肃的总结,总结了今天的事情是如何运作的:
