發現網站漏洞,跟站長要報酬合理嗎?
假如我發現了某網站的高危漏洞,跟站長要報酬合理嗎?
當然,是以協商的形式,談攏了,站長給錢我給漏洞,談不攏,各回各家各找各媽,我不會用漏洞做壞事,也不會泄露漏洞信息。
但是如果其他人發現該漏洞並對網站實施攻擊,造成嚴重後果,比如站長經濟利益受損,這種情況我需要負責嗎?畢竟如果之前我提供了相關的信息,網站將不會被攻擊。=====================很多朋友都談到了第三方漏洞平台,我也知道這個靠譜,可是大家都是普通人,一日三餐柴米油鹽都很現實啊。做好事是美德,但並非義務吧……=====================
另外,我不亂來,只是協商,我先指出漏洞和可能造成的後果,願意的話他掏錢,我再給出具體細節和修復方案,不願意的話,我拍拍屁股走人,漏洞還在那裡,我並不會去惡意利用。這樣的話也算敲詐勒索嗎?
從合理性上說,是沒問題的。但在具體操作上,很多細節不易把握。如果相關法律知識和經驗不足,很容易被對方下套,把你定成敲詐勒索罪。公司的法務部門也是有KPI的,把你送進去,年底向領導彙報算大功一件。所以最好的方式,是提交給烏雲這樣的第三方。
上帝存在於細節中,不談具體細節就下結論是武斷的。
這個事情的定性首先要看你發現漏洞的方法以及與對方溝通的方式,同時也要看對方的性質和所處的時期,當然最後還要看對方以及執法部門是如何看待這個事情的。
發現漏洞的方法有合法和違法之分,也有「無損」和「有損」的區別。中國現行的法律中並不存在「黑客罪」,而是「破壞計算機信息系統罪」,此罪的界定是以「造成嚴重後果」為分界線的。
固然未得到授權並不能隨便進行滲透測試,但滲透測試也並不是唯一發現漏洞的方法。很多網站的業務邏輯漏洞有經驗的人看一眼就知道,最多做幾個完全合法的小實驗就能確認,根本不需要破壞性嘗試。
反過來說,緩衝區溢出和資料庫注入漏洞要小心,因為很容易造成對方系統停止服務甚至數據丟失。
======
溝通的時候不要把漏洞掛在嘴邊,可以聊聊對相關安全架構的理解,以及給對方的建議,這樣無論從法律上還是對方能接受的情緒上都會更好。
例如:「按照我的經驗,你們的架構和應用在信息安全上還有較大可以提升的空間,如果有興趣,我們可以聊一下相關的諮詢服務。如果你們願意,可以授權我進行一次安全測試,如果沒有發現任何問題,這個測試將是免費的。」
事先要充分理解對方對此事的立場和看法,例如:某地方政府部門網站,那麼發掘其漏洞的性質是什麼?對方有沒有可能支付費用?還是直接抓了你掩蓋事情的發生?這些都要想清楚。
此外,在特殊敏感時期也要小心被當作典型。比如:兩會期間去幫助政府網站測試漏洞……
有些甲方對於信息安全問題的理解是偏頗的,總覺得搞信息安全的人是沒事找事,完全不去考慮設計一個系統本來就應該具備安全性,而任何存在價值的系統,原本就會遭到各種威脅和攻擊,無論白帽子幫不幫你找漏洞。我的建議是:對這樣的甲方,可以隨他們去,現實自然會教育他們的。
題主有這樣的困惑,我感覺其實主要還是因為技術還不是很過硬,否則其他的機會和出路也很多,所以建議題主還是先打好技術基礎。沒有任何歧視的意思,但是做獨立白帽子靠發掘漏洞來賺錢,真的不是最佳的職業道路選擇。請參見我的另外一個答案。
利用漏洞獲利是很正常的行為,我所負責的項目都非常感謝和欣賞這樣的行為。
為什麼?原因有二:1、發現漏洞沒有利用,沒有傳播,首先想到和官方協商,我簡直想抱著你親一口。2、價錢雙方一起協商,太高就算了,只要合理我們一定給!3、我從來沒想過舉報這些能力超群的碼農,人家有能力找出你的漏洞,你不想辦法提高自己的水平,還要臉嗎?我第一個反應是:兄弟,想跳槽嗎?4、你們說報警,看來你們對中國警察很有信心啊。除了嚇唬恐嚇自己意淫壯膽還會啥?總之,我非常贊成光明磊落靠自己能力賺錢的人,也非常贊成和官方協商。碼農是地球上最純潔的生物不許你們去黑他們!
合理的,但是注意語氣和態度,不要讓人家覺得是在威脅。多年前曾經向豆瓣要過禮物和錢...
我記得我04、05年的時候,寫個鍵盤記錄病毒加到熱門軟體或外掛里,,通過傳播獲取賬號密碼最後就一個一個賬號加起來和他們的主人說怎麼中毒了,然後給他們修電腦並且教給他們基本安全知識。
如你所說,「做好事是美德,但並非義務」,但是我喜歡做好事,我喜歡幫助人,我再困難也不想掙這種錢,這可能因人而異吧。
我最早喜歡計算機並且研究計算機編程的時候是在初中,初一的時候我的一款網遊賬號被盜了,悲痛欲絕的我決定研究其原理,然後教給大家怎樣防範,我認為我學習計算機的初衷就是解決自己的問題和幫助更多的人。
計算機技術給人們帶來了便捷的服務,但是也為人們帶來了潛在的威脅,網路犯罪每年給全球帶來高達4450億美元經濟損失,我不能阻止他人,我只能勸告或以身作則。
你做的沒錯,如果你想把這個當做職業,我建議你可以考慮註冊正規的網路安全公司,為他人解決網站問題,如果你僅僅是業餘時間去做這個事,那我希望你還是專遞正能量,免費告知網站技術人員,如果我是網站負責人,我一定會給你一筆報仇,可能不會太多,但是我希望正能量能夠傳遞下去。如果你要求先給錢然後才給漏洞(不然不提供漏洞信息)的話,完全可以定性為敲詐勒索罪;
未經授權,對其進行測試,本身就是違法的。企業的選擇一般無非如下幾種:
1 報警抓人,一般國家單位及傳統行業可能選這個;就算你報告了,也不一定會去修復,抓人最簡單;2 發放獎勵,以互聯網行業居多;表面是鼓勵這種行為,實際上可不一定,就算安全部門的人鼓勵這種行為,但業務部門的人一定會深惡痛絕。但選擇哪一種,要看企業的動機,是否需要達到一定的廣告宣傳效應以營造本公司重視網路安全的社會輿論氛圍等,需要的話就利用一下,發放獎勵好好宣傳宣傳;否則抓人最省事啊。
提交第三方網站,並不能從根本上免除你的未授權就進行測試的責任,反而可能作為證據保存。如果你以某公司員工的身份提交,也有可能給你就職的公司帶來法律糾紛。權衡好利弊,因為抓你也只是一個協查通報而已
曾跟黑帽大會發文宣講的著名人物交手過,技術他上台說完了,後面台下幾個月說別的。
當時我的態度是:他若亂來,我們就堅持到底。他不亂來,我們就事論事。
( 原話可不是這樣,限於職業道德和NDA不能說太多)最後對方默默退了。你自比這種人如何?
少年,搞安全的不都是只懂技術的,連刷存在感都要很講究方法的,因為你一個人,面對的隨時是個職業TEAM。稍有不慎行差踏錯,對方要是不爽可以讓你身敗名裂,就算對方陣營有同情你的技術大牛,但還有PR、法務、商業決策等一堆角色在後面看著。
CERT是公認最穩妥的機制。
最後補兩句:1、天使:騷年,想要靠這個堂堂正正混飯吃,投份簡歷加入測試團隊吧。2、惡魔:白帽子那麼好混飯吃么?沒測試出足夠的問題是要被打板子的。我很感謝這類和我們協商的程序猿和攻城獅
發現鄰居門沒鎖好,向鄰居要求報酬合理么?
發現監獄有漏洞,向司法機關要求報酬合理么?
合理,因為你額外的工作,降低了他們的面臨的風險。但是…題主先想一下小牛牛的事
再想一下北極熊作者的事然後你再考慮要不要麵包手裡握有漏洞,這是你的優勢信息,如何變現,需要多思考,總之用上兩到三倍找漏洞的精力去努力實現效益的最大化就對了,這個過程中要控制好你的貪慾,鬥智斗勇也是蠻有成就感的呢!
如果我不報告,我賣許可權、脫褲,誰的損失更大?
你可以向第三方平台提供漏洞讓他們去幫你要價,以後你找到漏洞都只要聯繫平台就夠了不需要一個一個找企業 用的比較多的平台:漏洞盒子 漏洞銀行 烏雲
也可以提交給補天,話說,補天和烏雲誰給的錢多啊?