这与其说是技术漏洞,不如说是网页设计咨询公司草率的安全实践。他们使用 CMS,并通过管理员登录进行了扩充。碰巧的是,管理员用户存储在一个表中,密码字段是明文的。
在查看了他们用于我客户网站的用户名/密码后,我 99% 确信这与他们设计的其他网站上的密码相同。一个打在他们的投资组合网站有相同的管理员登录形式,但显然我不能合法地测试网站是否存在漏洞,因为做到这一点的唯一方法是实际尝试登录。
单独联系这些网站,告诉他们我的怀疑并建议他们如何解决它是一个合理的行动方案吗?
更重要的是,我这样做是否会让自己处于危险之中?更聪明的所有者会发现,如果他们容易受到攻击,投资组合中的其他网站也会受到攻击,并且可能会做一些令人讨厌的事情,同时我会告诉这些网站我碰巧知道如何访问他们的管理区域。听起来手指可以指向我。有什么建议?
除非他们有某种形式的错误赏金类型计划,否则您会向未雇用您的组织披露信息,从而使自己处于危险之中。该组织可以转身说“你在攻击我们,这就是证据。我们要起诉你。” 我不得不在过去的工作中与高级领导作斗争,以免采取这种行动。或志同道合的 BS,因为他们更多地将其视为对他们的攻击。他们认为攻击您然后披露该信息更安全。
如果这些是较小的组织,则这种风险较小。通常,您的信息将发送给关心并希望首先修复它的人。他们通常(并非总是)会感谢反馈并希望更好地支持它。在较大的组织中,它将首先进入法律程序,然后他们决定如何应对,然后再将其发送给可能修复它的人。
如果您选择披露它,请采取一切可能的预防措施,以确保他们无法追踪到您。就个人而言,除非他们有错误赏金类型的程序,否则我不会透露这一点。不值得拿你的职业冒险。这似乎与我们作为安全专业人员应该做的事情背道而驰。无论您在法庭上是赢还是输,您的声誉都会受到打击,雇主以及您当前的雇主可能会三思而后行。这些组织也可能会追随您当前的雇主。他们会如何回应?