Security 黑客和利用-你如何处理你发现的任何安全漏洞？

如今，网络安全是一个非常重要的因素。许多企业完全基于在线，只有使用web浏览器才能查看大量敏感数据

为了获取保护自己应用程序的知识，我发现我经常测试其他应用程序的漏洞和安全漏洞，也许只是出于好奇。通过对自己的应用程序进行测试、阅读zero day漏洞利用和阅读这本书，我在这一领域的知识得到了扩展，我逐渐意识到，大多数在线web应用程序确实存在很多安全漏洞

那你是做什么的？我无意破坏或破坏任何东西，但我最大的“突破”是黑客攻击，我决定提醒页面管理员。我的调查很快被忽略了，安全漏洞还没有被修复。他们为什么不想修呢？要多久才会有一个心怀恶意的人打破客栈，选择摧毁一切

---

我想知道为什么现在没有更多的人关注这一点，而且我认为在实际提供测试web应用程序的安全缺陷方面会有很多商机。只是我有太大的好奇心，还是有其他人有同样的经历？在挪威，如果你真的试图闯入一个网页，即使你只是检查源代码并在那里找到“隐藏密码”，使用它登录，你已经触犯了法律。

我通常会联系网站管理员，尽管回复几乎总是“天哪，你破坏了我的javascript页面验证，我会起诉你。”

---

人们只是不喜欢听到他们的东西坏了。

通知管理员是最好的做法，但有些公司就是不接受未经请求的建议。他们不信任或不相信消息来源

有些人会建议您以一种破坏性的方式利用安全漏洞，以引起他们对危险的注意，但我建议您不要这样做，因为这可能会导致严重后果

基本上，如果你已经告诉他们这不再是你的问题（一开始就不是）

另一种确保你引起他们注意的方法是提供关于如何利用它的具体步骤。这样，无论谁收到电子邮件，都可以更轻松地验证电子邮件，并将其传递给正确的人

但在最后，你不欠他们任何东西，所以你选择做的任何事都是伸出你的脖子

---

此外，你甚至可以为自己创建一个新的电子邮件地址，用于提醒网站，因为正如你所提到的，在某些地方，甚至验证漏洞都是非法的，有些公司会选择跟踪你，而不是安全漏洞。

我和你一样经历过同样的情况。我曾经在一家oscommerce商店发现一个漏洞，你可以免费下载电子书。我写了两封邮件： 1） oscommerce的开发人员回答说：“已知问题，只是不要使用这个paypal模块，我们不会修复” 2） 商店管理员：根本没有回答

---

实际上我不知道什么是最好的行为方式。。。甚至可能公开该漏洞以迫使管理员做出反应。

如果它不会影响许多用户，那么我认为通知站点管理员是您最应该做的事情。如果该漏洞具有广泛的影响（如Windows安全漏洞），则您应通知有能力修复该问题的人，然后在发布该漏洞之前给他们时间进行修复（如果您有意发布该漏洞）

很多人都在为利用出版物而哭泣，但有时这是得到回应的唯一途径。请记住，如果你发现了一个漏洞，那么很有可能是那些没有那么利他意图的人发现了它，并且已经开始利用它了

---

编辑：在发布任何可能损害公司声誉的内容之前，请咨询律师。

我曾报告一家在线有声书店存在严重的身份验证漏洞，允许您在登录后切换帐户。如果我报告此事，我也很谨慎。因为在德国，黑客行为也是被法律禁止的。所以我匿名报告了这个漏洞

答案是，虽然他们不能自己检查这个漏洞，因为软件是由母公司维护的，但他们很高兴我的报告

后来我得到一个回复，他们确认了这个漏洞的危险性，现在已经修复了。他们想再次感谢我的这份安全报告，并送给我一台iPod和有声读物作为礼物

---

因此，我确信报告漏洞是正确的方法。

请联系管理员，而不是业务型人员。一般来说，管理员会感谢通知，感谢有机会在事情发生之前解决问题，并因此受到指责。更高层，或客户服务人员将要通过的渠道，是律师参与的渠道

我是一群人中的一员，他们报告了我们在大学里偶然发现的NAS系统问题。管理员们非常感激我们发现并报告了漏洞，并代表我们与他们的老板争论（负责人想把我们钉死）。

“我发现我经常测试其他应用程序的漏洞和安全漏洞，可能只是出于好奇。”

在英国，我们有“计算机滥用法案”。现在，如果你正在“查看”的这些应用程序都是基于互联网的，而且ISP的相关人员可能会费心调查（纯粹出于政治动机），那么你就是在打开自己的大门，让别人指指点点。即使是做一点点“测试”，除非你是英国广播公司的，也足以让你在这里被定罪

甚至渗透测试机构也要求希望进行测试的公司签字