作为我之前问题的某种后续 -从安全研究人员/渗透测试人员的角度提出的问题:
(感谢 Rory McCune指出这一点)似乎有许多知名网站,如 facebook 和 google,他们似乎公开允许安全研究人员尝试入侵他们的网站,只要这些网站负责任地披露调查结果。从表面上看,这似乎是一个普遍的好主意。如果有人愿意免费做渗透测试,为什么还要雇人做你的渗透测试?(不管你问不问,坏人都会这么做)。
但是,在开始这种看似冒险的尝试之前,网站应该已经采取了哪些措施?(或者也许我错了,这并不比你不主动发出这样的邀请风险更大)。我不是特别关心法律方面或如何处理这些报告,而是技术方面的事情。是否可以将相同的逻辑应用于较小的应用程序或网站,就像它适用于大人物一样?即发布这样的声明是否会使您的网站面临更大的风险而不是将其排除在外?
你应该记住像谷歌、雅虎、亚马逊这样的网站有几(几千)台服务器。他们有能力向所有人“敞开大门”,因为正如 M15K 指出的那样,他们的资源不受限制。
它们可能“开放”的原因有两个: 1. 您可以收集性能统计信息。2. 您可以测试系统的稳定性(如果服务器 X 出现故障,服务器 Y 必须接管等) 3. 可能还有很多我想不出来的原因。
在小型/中型/大型公司中,您通常最终使用 Linux/Unix 服务器、Apache、Nginx、LigHTTP、Jetty、MySQL、PostgreSQL、Oracle 等。Google(giant)等网站创建自己的平台和自己的软件解决方案 - 网络服务器、数据库、代理转发器等。因此,为公众“敞开大门”实际上有助于他们不断提高安全性和平台,因为世界上的每个“黑客”都会试图让他们失望。他们中的一些人会成功,通常他们最终会为公司工作或在他们的银行账户中收到令人满意的数字:)
在我看来,如果您工作的公司没有从头开始创建大多数软件解决方案(Web 服务器、数据库和您公司需要的任何其他东西),那么您“打开”所有内容是不安全的。即便如此,这也有点冒险,尤其是在您管理敏感数据的情况下。
i.e. could publishing such a statement put your site at more risk than leaving it out?
如果你说“如果你告诉我们违规在哪里,我们不会起诉你”也没关系。如果有人想破解你 - 无论声明是否存在,他都会尝试这样做。但是,如果它在那里,听起来更像是您在邀请他们。因此,您可能会有更多的黑客试图入侵您的服务器。
However, what measures should a site already have in place before embarking on such seemingly risky endeavor?
您将需要找出一种日志记录机制,或监控站点和服务器上正在执行的操作。站点/服务器的完整备份也是必须的。
一般来说,我不建议让服务器“打开”,特别是如果它处理敏感信息,如信用卡、付款、患者的医疗信息等。你最好雇佣一个有适当合同的黑客团队。否则,您将冒着所有信息公开的风险。
我不能详细说明,因为这个话题很大,在“公开”之前你需要考虑很多事情:
我相信这是一个最好的问题或实践,一旦您使用自己的内部实践彻底审查了您的网站。请记住,对 facebook 和 google 有益的东西可能对您不利。
他们有冗余系统,并且可以承受一段时间的系统故障,甚至将其纳入他们的业务连续性计划。我敢猜测,大多数其他 Web 服务器崩溃的企业都在全力以赴。
我无法想象在你的前门宣布开放赛季会有很多积极的情景会产生一些有用的东西。但是,假设您这样做了,并且确实得到了一些积极的反馈。您和您的安全团队是否能够修复这些漏洞?