Dois-je signaler une vulnérabilité de sécurité?
J'ai scanné un site à l'aide d'un scanner de vulnérabilité et il a trouvé une vulnérabilité avec un score CVV de 10. Dois-je envoyer le rapport à l'entreprise?
Note rapide: cette réponse suppose que vous êtes autorisé à exécuter des scanners sur le site Web. L'exécution de scanners sur un site Web est illégale dans pratiquement toutes les juridictions, donc si vous le faites, ma seule suggestion est: "STOP!".
Ce que vous ne devez pas faire
Vous ne devez jamais envoyer de rapport de vulnérabilité d'un scanner à une entreprise. 90% du temps, ceux-ci sont inutiles par eux-mêmes et sont susceptibles d'être ignorés par toute équipe de sécurité compétente. La raison en est que les scanners peuvent avoir un nombre illimité de faux positifs, donc un positif provenant d'un scanner de vulnérabilité ne signifie pas réellement qu'il y a une vulnérabilité. Cependant, il est courant que les nouveaux testeurs de primes de bogue envoient simplement des rapports de vulnérabilité des scanners aux entreprises sans comprendre ce que dit le rapport, s'il est correct ou s'il est même applicable. Par conséquent, les équipes de sécurité ignorent souvent un rapport provenant directement d'un scanner. La plupart des programmes de primes de bogue le mentionnent spécifiquement.
Ce que tu devrais faire
Au lieu de cela, vous devriez prendre le temps de générer vous-même un rapport de vulnérabilité, ce qui signifie que vous décrivez la nature de la vulnérabilité, les mesures qu'ils peuvent prendre pour confirmer vos conclusions, le risque que la vulnérabilité crée pour l'entreprise et éventuellement même les mesures qu'ils peuvent prendre pour atténuer le danger. C'est ce que vous devez envoyer à l'entreprise, et envoyer quelque chose comme ça est presque toujours une bonne idée.
S'il s'agit d'une entreprise qui n'a pas de programme public de primes aux bogues, elle est encore moins susceptible de donner un sens à un rapport à partir d'un scanner, il sera donc beaucoup plus important pour vous de prendre le temps et fournir un rapport de vulnérabilité détaillé détaillant la vulnérabilité, l'impact sur l'entreprise, une estimation de sa gravité et des mesures d'atténuation suggérées. Évidemment, ce n'est pas la situation dans laquelle vous vous trouvez, car exécuter des analyses de sécurité automatisées sur un site Web sans approbation explicite est illégal dans la plupart des juridictions et une mauvaise idée en général ...
tl/dr:
Devez-vous envoyer les résultats de votre scanner à une entreprise? Non, car c'est souvent inutile. Ce que vous devez faire est de vérifier que le scanner ne signale pas de faux positifs, puis d'envoyer un rapport détaillant la vulnérabilité, ce qu'ils peuvent faire pour la reproduire, une explication de son impact et des mesures d'atténuation suggérées. Vous évidemment ne devriez pas "pirater" le système en toutes circonstances.
Règle une de l'analyse des vulnérabilités ou de toute autre activité qui pourrait éventuellement être interprétée comme hostile: obtenez d'abord une autorisation écrite signée par la haute direction. Une "analyse de vulnérabilité" non sollicitée est indiscernable d'une tentative de piratage - et si vous avez utilisé un outil commun, et qu'ils ont une surveillance intelligente en cours, ils auront détecté cette analyse et enregistré votre adresse IP. Et un rapport mal rédigé d'une vulnérabilité que vous avez trouvée ne se distingue pas d'une menace. Si vous êtes chanceux, l'existence d'un bug commun sur leur site pourrait signifier qu'ils n'ont pas une bonne surveillance. Cependant, une telle entreprise est plus susceptible d'appeler la police si elle pense, même à tort, que vous menacez de la pirater.
Considérez-le de cette façon: un inconnu aléatoire vous dit un jour que vous avez laissé vos fenêtres déverrouillées. Il ou elle jure qu'ils ne sont pas entrés chez vous. Seriez-vous reconnaissant ou vous demandez-vous pourquoi cette personne a essayé vos fenêtres?
C'est triste à dire, mais c'est la réalité du monde d'aujourd'hui - votre option la plus sensée est de ne rien faire. Considérez que vous avez appris quelque chose sur l'analyse de vulnérabilité aujourd'hui, et continuez.
Voulez-vous être un chapeau blanc ou noir? La réponse peut également dépendre des lois applicables en fonction du pays dans lequel vous vous trouvez, du pays dans lequel se trouve l'entreprise.
Des choses qui vont toujours bien
Utilisez un processus de divulgation responsable pour divulguer les résultats à l'entreprise.
Vérifiez si l'entreprise dispose d'un processus de rapport de vulnérabilité. Un bon point de départ est de voir s'ils ont un https://company.com/.well-known/security.txt. Si ce n'est pas le cas, recherchez autour et voyez s'ils ont une adresse e-mail de sécurité pour signaler des choses comme ça.
Une autre option si vous ne pouvez pas ou ne voulez pas traiter directement avec l'entreprise est de signaler par l'intermédiaire d'un intermédiaire comme S Cert .
Il convient également d'indiquer ici que si vous voulez que l'entreprise vous prenne au sérieux, vous devez décrire clairement le problème, les étapes de reproduction, décrire à quel point il est omniprésent dans leur application, quels dommages et attaquants pourraient en causer, et ce qu'ils devrait faire pour le réparer. Si vous leur envoyez simplement le rapport d'un scanner, ils vous ignoreront probablement, ou pire enverront un avocat après vous (voir ci-dessous).
Des choses qui vont parfois bien
Parfois, il est acceptable de publier le résultat sans en informer l'entreprise (par exemple en déposant un CVE, ou en écrivant un blog, github repo).
Selon le type et la gravité de la vulnérabilité, cela pourrait finir par faire plus de dégâts que de bien si des personnes étaient piratées avant que l'entreprise n'ait le temps de la réparer.
"Les choses qui sont parfois correctes" pourraient inclure en premier lieu l'exécution du scanner. À moins que vous ne soyez embauché pour le faire ou qu'il n'y ait un programme de prime aux bogues, cela pourrait être interprété comme une tentative de piratage. (Merci @EsaJokinen). Une recherche rapide sur Google montre que lorsque vous effectuez une "recherche sur la sécurité" sans autorisation, vous êtes tout aussi susceptible d'être condamné à une peine d'emprisonnement que de vous remercier:
- Le gouvernement fédéral accroît la capacité des chercheurs en sécurité à pirater sans aller en prison
- n chercheur en sécurité arrêté pour avoir divulgué des vulnérabilités du site électoral américain
- Le cas d'un chercheur en sécurité arrêté prend un tour
- Quand la recherche sur la cybersécurité mène à la prison
- Protégez les pirates de White Hat qui font juste leur travail
Frapper le site Web de quelqu'un d'autre avec un scanner de sécurité peut vous poser de gros problèmes, alors assurez-vous de comprendre les implications juridiques avant de le faire!
Des choses qui ne sont jamais ok
Piratage du site Web vous-même.
Ceci est sans aucun doute illégal dans tous les pays qui ont des lois à ce sujet.
Soyez très prudent en adoptant cette approche, car vous pouvez perdre beaucoup et je ne suis pas sûr que vous gagniez quoi que ce soit (du moins du point de vue du chapeau blanc).