Pytanie:
Czy domaga się „darowizny” przed ujawnieniem słabych punktów zachowania czarnego kapelusza?
Jacco
2017-10-30 15:14:52 UTC
view on stackexchange narkive permalink

Skontaktował się z nami „niezależny badacz bezpieczeństwa” w ramach projektu Open Bug Bounty. Pierwsza komunikacja była całkiem OK, a on ujawnił znalezioną lukę. Poprawiliśmy dziurę i powiedzieliśmy „dziękuję”, ale odmówiliśmy wpłaty darowizny (patrz poniżej).

Następnie badacz wysłał e-mail z informacją, że znalazł więcej luk w zabezpieczeniach, ale ponieważ tego nie zrobiliśmy Jeśli przekaże darowiznę, zachowa te luki dla siebie.
Innymi słowy, powiedział nam tylko, że ma więcej słabych punktów, ale ich nie ujawni, po tym, jak podjęliśmy decyzję o niepłaceniu sugerowanej dobrowolnej darowizny.

W moim rozumieniu nie jest to już zgodne z odpowiedzialnym zachowaniem białych kapeluszy. Czy mam rację, jeśli chodzi o to stwierdzenie?


Aktualizacja
Tak, ta osoba dość wyraźnie podała sugerowaną kwotę darowizny.

Różne przyczyny niepłacenia żądanej „darowizny” to:

  • sugerowana wysokość „dobrowolnej darowizny” w połączeniu z powagą stwierdzonej podatności,
  • według naszych dzienników omawiana luka nie została wykryta przez „wysoko wykwalifikowaną” osobę, ale raczej przez zautomatyzowane narzędzie,
  • fakt, że projekt Open Bug Bounty wyraźnie wspomina, że ​​nie jest wymagana żadna płatność,
  • pasywny agresywny ton głosu.

Powyższe w połączeniu z faktem, że podczas gdy jesteśmy w trakcie konfigurując budżet nagród za błędy i związane z nimi zasady, jeszcze tego nie ukończyliśmy.

Wyjaśnijmy: nie wyznaczyliśmy ani nie obiecaliśmy nagrody, a nie zapisywać się do tego projektu. Projekt Open Bug Bounty jest projektem niepowiązanym, który wyraźnie mówi: „ Nie ma jednak absolutnie żadnego obowiązku ani obowiązku wyrażania wdzięczności ”.

Ponadto uwaga: chociaż popieram jakieś ramy prawne mające na celu ochronę badaczy bezpieczeństwa działających w dobrej wierze, te ramy prawne w tej chwili nie istnieją w naszej jurysdykcji; fakt, że nasza osoba prawna była aż nazbyt chętna do zwrócenia uwagi.

Jeśli uważasz, że badacz zachowuje się nieetycznie, to możesz zgłosić go ludziom z Open Bug Bounty, jak sądzę.I przyznaję, że ktoś, kto mówi „Mam robale, zapłać, jeśli chcesz wiedzieć, czym one są” zachowuje się kiepsko (dla mnie to trochę jak wymuszenie).Z drugiej strony, ponieważ nie sprecyzowałeś, dlaczego odmówiłeś zapłacenia nagrody za pierwszy błąd, nie jestem pewien, dlaczego myślisz, że ten badacz podałby ci porę dnia - ci ludzie SĄ w tym dla pieniędzy.
Mam problem z komunikatem „ponieważ nie przekazaliśmy darowizny, on zachowa te luki dla siebie”.W najlepszym przypadku brzmi jak dziecinne zachowanie, w gorszym wymuszenie.Oczywiście nikomu nie grozi, ale mówi w sposób dorozumiany „następnym razem zapłać lub zajmij się nieznanymi lukami”.A jeśli facet nie jest głupi, mógłby ujawnić te luki gdzie indziej, bez wcześniejszego wyjaśnienia.
@Kaël To interesująca zagadka.Jeśli badacz po prostu zakopuje odkrycia, to znaczy, że nigdy nie przeprowadził badań, więc trudno nazwać to faulem.Gdyby stworzyli exploity i sprzedali je przestępcom, z pewnością wydawałoby się to wymuszeniem.Jeśli po prostu opublikują je światu, PO też się o nich dowie, po prostu nie będą mieli przewagi.Zupełnie inny sposób spojrzenia na to jest taki, że OP otrzymał już bezpłatną pomoc.Dlaczego mieliby oczekiwać więcej za darmo?Myślę jednak, że nazywanie tego „darowizną” sprawia, że sprawy wydają się bardziej podejrzane.
@Jacco, czy możesz wyjaśnić, co może oznaczać dla Ciebie odpowiedź?Jeśli odpowiedź brzmi „nie”, jaki będzie twój następny krok?Pytasz, czy takie zachowanie wskazuje na zagrożenie, przed którym musisz się chronić?
@schroeder, Oprogramowanie jest przepisywane (główny refaktor), więc znajomość dokładnych luk w zabezpieczeniach jest niewielka (choć interesująca).Moim głównym zmartwieniem jest podejście, które zasadniczo mówi: „znaleźliśmy luki w twoim oprogramowaniu, zapłać”;mam na myśli ukrytą groźbę.Myślę, że to zachowanie przedstawia zły obraz niezależnym / niezależnym badaczom.
@Jacco biorąc pod uwagę udział programu bounty strony trzeciej, który zapewnia legalność i zmienia cały kontekst scenariusza, nic nie jest jasne - może to być czarny kapelusz lub sfrustrowany biały kapelusz
@JohnDeters, biorąc pod uwagę obecną ofertę, zgodnie z prawem nie mogę mu zapłacić żadnych pieniędzy, nawet gdybym chciał.Jeśli zapłacę teraz, zgadzam się na wymuszenie i tym samym popełnienie przestępstwa.
Kiedy druga strona postawi warunek otrzymania pieniędzy, nie jest już możliwe, aby te pieniądze były dokładnie nazywane „darowizną”.Byłoby sprawiedliwe i bardziej uprzejme i uczciwe, gdyby powiedzieli: „Myślę, że znalazłem kilka innych luk w zabezpieczeniach, które z przyjemnością Ci sprzedam. Oto lista moich poprzednich zadowolonych klientów. Zapraszam do kontaktu w celu sprawdzenia, czyjestem uczciwy i doświadczony ”.
`biorąc pod uwagę obecną propozycję, zgodnie z prawem nie mogę mu zapłacić żadnych pieniędzy, nawet gdybym chciał.Jeśli zapłacę teraz, zgadzam się na wymuszenie i tym samym popełnienie przestępstwa. ”W takim razie jest to zdecydowanie czarny kapelusz, więc po co robić nitkę?
@JᴀʏMᴇᴇ Ponieważ etyka i prawo nie zawsze się pokrywają.Pytałem o etyczną część problemu;Miałem nadzieję, że społeczność osiągnie jakiś konsensus, ale wydaje się, że pytanie nie doprowadziło do czegoś takiego.
Pięć odpowiedzi:
Hector
2017-10-30 15:52:50 UTC
view on stackexchange narkive permalink

W moim rozumieniu nie jest to już zgodne z odpowiedzialnym zachowaniem „białego kapelusza”. Czy mam rację w tym stwierdzeniu?

Biały (i szary / czarny) kapelusz to niejasne określenia. Nie ma ustalonej uniwersalnej definicji. Według definicji Wikipedii większość badaczy byłaby postrzegana jako Gray Hat, ponieważ publikacja nie jest niczym niezwykłym, jeśli wydawca oprogramowania odmówi aktualizacji.

Prosta odpowiedź na twoje pytanie brzmi: nie. Jeśli Twoim celem jest uczynienie świata bezpieczniejszym, to wyraźnie nie jest to zgodne. Istnieje pośredni argument - że poprzez zachęcanie do wynagrodzenia finansowego zachęca do zdrowszych relacji między przedsiębiorstwami a naukowcami, a także zachęca więcej osób do podjęcia pracy w tej dziedzinie.

Dlaczego w ogóle pytasz? Badacz nie jest w żaden sposób zobowiązany do ujawnienia informacji. Chyba że udowodnisz, że złamał prawo, znajdując luki, do których nie masz wpływu, aby go zmusić. Do tej pory otrzymałeś kilka godzin pracy od wysoko wykwalifikowanej osoby (miejmy nadzieję, że inaczej to rzuca się w złe światło) całkowicie za darmo. Albo uważasz, że warto mu zapłacić za dalsze oferowanie usług, albo nie.

* Patrząc na tytuł, twierdzę, że nie jest to zachowanie Black Hat, chyba że celowo wykorzystuje luki w zabezpieczeniach dla własnego zysku lub dla ciebie. własną krzywdę (/ zadaje je bezpośrednio komuś z takim zamiarem). Gdyby tylko odmówił ujawnienia, argument byłby między definicjami białych / szarych kapeluszy.

PStag
2017-10-30 17:44:53 UTC
view on stackexchange narkive permalink

Badacz nie stworzył luki i nie zagroził, że ujawni lub wykorzysta to, co znalazł. Jeśli nie chcesz płacić za jego pracę, nie rób tego, a sytuacja Twojej firmy nie jest gorsza niż przed skontaktowaniem się z Tobą. W rzeczywistości dał ci dar powiedzenia, że ​​istnieje luka, którą możesz znaleźć samodzielnie lub za pośrednictwem innego wykonawcy.

Więc nie, nie zrobił nic nieetycznego.

Czy nie byłoby nieetyczne, aby przyłączyć się do organizacji, która twierdzi, że darowizny nie są obowiązkowe, a następnie żądać darowizny?
@corsiKa "wyrównaj się"?Na stronie Open Bug Bounty nie mogłem znaleźć nic na temat bieżącej zależności między organizacją a osobą, która zgłosiła.
Arminius
2017-10-30 19:04:28 UTC
view on stackexchange narkive permalink

Jestem łowcą błędów i nie mam pojęcia, dlaczego wszyscy tutaj uważają, że jest w porządku, że może zaatakować Twoją witrynę internetową bez pozwolenia, samodzielnie określić kwotę nagrody i zagrozić, że powstrzyma potencjalnie niebezpieczne błędy, ponieważ nie dostaje pieniądze, których chce. Dlaczego wcześniej nie zapytał o twoją polisę? Nigdy nie twierdziłeś, że uruchamiasz program bug bounty ani że jesteś w stanie zapłacić komukolwiek w pierwszej kolejności.

Aby jeszcze raz wyjaśnić, OP nie zapisał się do projektu Open Bug Bounty. Projekt oferuje pośrednictwo między naukowcami a stronami internetowymi, które nie prowadzą programu nagród. Ponadto wyraźnie wspominają, że nie jesteś zobowiązany do niczego płacenia, a badacz powinien być tego świadomy, jeśli przeczyta wytyczne.

Właściciel witryny może wyrazić wdzięczność badaczowi w sposób, który uzna za najbardziej odpowiedni i proporcjonalny do wysiłków i pomocy badacza. Zachęcamy właścicieli witryn, aby przynajmniej podziękowali badaczowi lub napisali rekomendację w profilu badacza. Nie ma jednak absolutnie żadnego obowiązku ani obowiązku wyrażania wdzięczności.

(Podkreśl moje własne)

Jeśli spodziewa się pieniędzy nagroda, powinien szukać błędów w firmach, które faktycznie prowadzą program nagród. Istnieje wiele renomowanych programów, które zapewniają wysokie nagrody.

Następnie badacz wysłał e-mail z informacją, że znalazł więcej luk w zabezpieczeniach, ale ponieważ nie przekazaliśmy darowizny, zatrzyma je luki dla siebie.

Jeśli już je znalazł i umieszczenie ich na liście i poinformowanie Cię o tym nie jest wielkim wysiłkiem, to tak, uważam za nieetyczne powstrzymywanie błędów. 1 Nie pytałeś żeby wykonał dla ciebie pracę. Mógłby zapytać, czy wcześniej zapłacisz za błędy. I nie zaoferował Ci swojej wiedzy w zamian za darowiznę - z twojego opisu wynika raczej łagodna groźba, że ​​jeśli mu nie zapłacisz, Twoja witryna jest w niebezpieczeństwie.

Weź ten incydent jako wskazówkę, że musisz więcej zainwestować w swoje bezpieczeństwo. Rozważ utworzenie prawdziwego programu nagród za błędy z niewielkimi nagrodami lub zatrudnienie profesjonalnego testera penetracji. Ale nie pozwól mu wyłudzić od ciebie pieniędzy, jeśli nigdy ich nie obiecałeś.

1 Nie chodzi o to, że powinien wykonywać dla ciebie darmową pracę. Chodzi o to, że wspomina, że ​​ jest coś, czego ci nie powie , chyba że zapłacisz mu określoną kwotę, co sprawia, że ​​jest to nieetyczne, zwłaszcza jeśli wykorzystanie tych błędów może zagrozić przyszłości Twojej firmy.

Strona, do której prowadzi łącze, wspomina również, że ma „politykę zerowej tolerancji dla wszelkich nieetycznych działań związanych ze zgłoszeniami. Jeśli zachowanie badacza graniczy z wymuszeniem [...], takie zgłoszenia zostaną natychmiast usunięte”.Więc badacz jest zdecydowanie poza linią.
Tylko pytanie od kogoś spoza tej domeny.Zakładam, że proces zgłaszania znalezionych błędów nie jest trywialną pracą.Dlaczego badacz miałby z etycznego punktu widzenia wnosić dalsze wysiłki, skoro występuje rozbieżność co do tego, w jaki sposób * „wyraża wdzięczność badaczowi w sposób, który uważa za najbardziej odpowiedni i proporcjonalny do jego wysiłków i pomocy” *?Jeśli nie uważam, że wyrażenie wdzięczności jest właściwe i proporcjonalne, dlaczego miałbym włożyć dalsze wysiłki w ulepszanie kodu?
Nie był zobowiązany do szukania błędów.OP jest teraz lepiej niż przed skontaktowaniem się z nimi przez badacza bezpieczeństwa.OP wie teraz o jednej luce i wie również, że istnieją inne.Wszystkie te cenne informacje OP otrzymał za darmo.Znalazłem nawet luki przez przypadek i nie zgłosiłem ich z różnych powodów.Czy jestem teraz złym czarnym kapeluszem?Prawdopodobnie mógłbym ich użyć do spowodowania strat pieniężnych dla tych firm.To byłoby zachowanie czarnego kapelusza.Ale nigdzie nie jest wymagane udostępnianie informacji o lukach.
@Myles W odpowiedzi wyjaśniłem moją argumentację.Reporter nie powinien wykonywać dodatkowej pracy.Ale najwyraźniej wykorzystuje swoją wiedzę o większej liczbie błędów bezpieczeństwa jako dźwignię, aby zdobyć pieniądze.Postanowił wspomnieć o błędach, aby wywrzeć presję na OP z ukrytą groźbą „nie musisz płacić, ale wtedy nie mogę zagwarantować Ci bezpieczeństwa”.Ponadto skompilowanie już znalezionych błędów w prostą listę zwykle nie jest tak drogie.
@Arminius Z OP: * Badacz wysłał następnie e-mail z informacją, że znalazł więcej luk w zabezpieczeniach, ale ponieważ nie przekazaliśmy darowizny, zachowa te luki dla siebie. * Istnieje założenie, że „... chyba żepłacisz mu ... ”, że tester nadal prosi o pieniądze, podczas gdy z tego, co faktycznie powiedział OP, tester zakończył swoje zaangażowanie z powodu niespełnienia poprzedniej prośby.Nie ma żadnego stwierdzenia, że tester dostarczy te brakujące błędy teraz, gdy zdecydował, że ta organizacja nie jest warta zajmowania się.Czy coś mi umyka?
@Myles Nie jestem pewien, o co ci chodzi.Nie twierdzę, że badacz wysłał kolejny e-mail z prośbą o pieniądze po pierwszym kontakcie.Nie twierdzę też, że badacz dostarczył później błędy.
@Arminius Opierając się na tym, co powiedział OP, badacz nie poprosił o pieniądze w pierwszej obserwacji.Przeczytaj uważnie * ... ale ponieważ nie przekazaliśmy darowizny, zachowa te luki dla siebie. * Brak prośby o fundusze, po prostu zerwanie związku.To jest istotne w tym, że nie jest to wymuszenie.Czy możesz wyjaśnić podstawy założenia, że „… jest coś, czego on ci nie powie, jeśli nie zapłacisz mu tej konkretnej kwoty…”?Po prostu nie widzę „chyba, że zapłacisz” w przedstawionych informacjach.
@Myles W tym konkretnym kontekście zakładam, że od * „Nie przekazuję Ci cennych informacji, ponieważ mi nie płacisz” *.do mnie, z tego co zgłosił OP.
@Arminius Nie zgadzam się z tym, że jest to oczywiste.Myślę, że to skok w logice oparty na nieuzasadnionym założeniu.Dzięki za wyjaśnienia, znacznie lepiej rozumiem twoje rozumowanie.
@Josef: Chociaż prawdą jest, że OP lepiej jest wiedzieć, że istnieje luka w zabezpieczeniach, moim zdaniem argument jest dyskusyjny.To tak, jakby ktoś wchodził do twojego domu, ponieważ drzwi frontowe nie były zamknięte (lub otwierano zamek wytrychem) po wypróbowaniu wszystkich drzwi w okolicy.Potem ten facet zostawia list na twoim kuchennym stole, w którym każe ci dać mu pieniądze.Poważnie?Co sprawia, że myślisz, że całe przedsięwzięcie jest uzasadnione i nie jest wysoce przestępcze?Fakt, że ktoś mówi „Och, ale włamuję się i wchodzę tylko po to, żeby twój dom był bezpieczniejszy”?To nie było wymagane.
@Damon Ale co to ma wspólnego z pytaniem, które dotyczy etyki proszenia o pieniądze w celu ujawnienia znalezionej luki?Etyka wyszukiwania luk bez zaproszenia to zupełnie inna kwestia.
@Damon: Twoja analogia powinna była wyglądać następująco, zamiast „zostawić list na stole w kuchni”, „zgłosiłeś otwarte drzwi do sąsiedzkiego stowarzyszenia przeciwdziałania przestępczości, które sprzyja zgłaszaniu luk w zabezpieczeniach”.Spora różnica.A rzeczywistość jest taka, że jeśli osoby informowane o lukach w zabezpieczeniach nie otrzymają wynagrodzenia, zachęta do ujawniania tych luk będzie niewielka.I wreszcie, zastanawiam się, dlaczego nazywa się to Open Bug ** Bounty **?
@Damon analogia byłaby bardziej poprawna: idę obok OP do domu i widzę, że jego drogi rower stoi na trawniku niezabezpieczony.Otwarte jest również okno na piętrze, a bezpośrednio pod nim drabina.Podchodzę do drzwi, dzwonię, mówię OP: „Hej, stary, Twój rower jest niezabezpieczony. Naprawię to”.OP mówi mi "F * ck off you ass".Odchodzę i mówię mu: „Jeśli nie docenisz mojej pomocy, nie powiem Ci o innych problemach z bezpieczeństwem. Do widzenia!”.Co dokładnie jest w tym złego?Jeśli moja pomoc nie zostanie doceniona, nie udzielę jej.
Mark Stewart
2017-10-31 00:04:54 UTC
view on stackexchange narkive permalink

Nie musi ujawniać - ale wiedział, że wchodząc w drugiej rundzie nie płacisz. Więc jaka jest jego motywacja? Nie możesz wiedzieć - więc wykorzystuje tę lukę, aby wywrzeć na tobie presję, abyś zapłacił.

Jednak - ponieważ nie zagroził, że udostępni złośliwe oprogramowanie ani sprzedawać go czarnym kapeluszom, jest potencjalnie prawnie czysty, a może nawet etycznie, jeśli nigdy tego nie zrobi lub jeśli po prostu zrobi otwarty zrzut exploita bez sprzedawania go czarnym kapeluszom.

Mógłby sprzedać go legalnie państwom narodowym i firmom ochroniarskim, ale nie wiedząc, jak ważne Twojego kodu, nie da się powiedzieć, czy jest to miejsce do sprzedaży dla „badacza”.

Płacenie uczciwej wartości rynkowej jest prawdopodobnie najlepszym rozwiązaniem. Ta osoba poświęciła czas na zbieranie informacji, a informacje mają dla Ciebie wartość. Nawet jeśli wydadzą go na otwartej przestrzeni, ma on prawo. Sprowadza się to do tego, jaką krzywdę wyrządziłaby ci wiadomość bez powiadomienia. Jeśli odpowiedź jest niewielka, zignoruj ​​ją. W przeciwnym razie wymyśl gotówkę. Tak przy okazji jest to czysto utylitarne - nie mówiąc o etyce. Z etycznego punktu widzenia powinien przerwać przeglądanie Twojej aplikacji / witryny, o której wiedział, że nie chcesz płacić, chyba że istnieją publiczne dane, które według niego narażasz na ryzyko.

Rzeczywista analiza etyczna!Witamy na stronie.
„Nawet jeśli ujawnią to na otwartej przestrzeni, on jest w porządku prawnym.” Czy jesteś tego pewien?We wszystkich jurysdykcjach?
Powiązaną wersją może być zatrudnienie osoby fizycznej jako wykonawcy (ponieważ PO obawia się, że jest to wymuszenie).Jeśli proste zautomatyzowane narzędzia wystarczą do znalezienia exploitów w twoim oprogramowaniu, być może warto umieścić kogoś na liście płac, aby uruchomić takie oprogramowanie.Twierdzę, że nie powinno to kwalifikować się jako wymuszenie, jeśli zidentyfikujesz potrzebę biznesową, spojrzysz na jego CV i zapłacisz mu godziwą pensję w oparciu o jego rzeczywiste umiejętności i reputację.Jeśli wszystko, co robi, to uruchamia zautomatyzowane narzędzia, cena może być niska (nawet niższa niż „darowizna”), ale może to być powtarzalny biznes.
A. Hersean
2017-10-30 21:27:40 UTC
view on stackexchange narkive permalink

Nawet jeśli nie jest to wymagane przez prawo, wielu uważa, że ​​nie wynagradzanie komuś za jego pracę jest nieetyczne. Jest to niezależne od narzędzi, których ta osoba użyła w swojej pracy lub tonu używanego do komunikacji, zwłaszcza że ton w komunikacji pisemnej może zostać łatwo źle zinterpretowany.

Ta osoba podarowała Ci próbkę swojej pracy, a następnie drażniła masz więcej. Jest to powszechna praktyka handlowa iw żadnym wypadku nie jest to złośliwe zachowanie.

Zatem na podstawie informacji podanych w pytaniu badacz może równie dobrze działać w dobrej wierze, bez złych zamiarów. PO może być stronniczy w przedstawianiu faktów i może próbować wrobić badacza w czarny kapelusz, aby uzasadnić swój punkt widzenia. To tylko przypuszczenie, a PO może być w dobrej wierze, a badacz mógł rzeczywiście zagrozić PO, ale to niejasne.

To dużo ocen wartościujących ... poza tym, twój ostatni akapit jest objęty innymi odpowiedziami.
@schroeder PO prosi o ocenę wartościującą.Mogłabym usunąć mój ostatni akapit.
Na podstawie pytania lukę w zabezpieczeniach można znaleźć w programie.Wiem, że większość praw autorskich nie obejmuje prac, które mogą być generowane przez maszynę.Oczywiście luka w zabezpieczeniach i coś, co wiąże się z prawami autorskimi, to dwie różne rzeczy, ale łączy je pewien rdzeń.
Więc mówisz, że gdybyś pewnego dnia wrócił do domu z pracy i ktoś skosił Twój trawnik, to byłbyś etycznie zobowiązany zapłacić tej osobie?Firma nie poprosiła badacza o wykonanie tej pracy, więc nie wyobrażam sobie żadnej możliwej podstawy, za którą byłby zobowiązany zapłacić badaczowi.
„Nawet jeśli nie jest to wymagane przez prawo, uważam, że nie wynagradzanie komuś za jego pracę jest nieetyczne”.- Gdybyś poprosił o pracę i przynajmniej zasugerował, że będzie jakaś zapłata, to tak, miałbyś rację.Wykonywanie pracy, o którą nie proszono, a następnie żądanie jakiejś arbitralnej zapłaty to zupełnie inna sytuacja.
@itsme2003 Dobra analogia, ale jest trochę inna.Wróciłeś do domu i zobaczyłeś, że ktoś skosił Twój trawnik.Zaakceptowałeś.Wrócił później i zrobił to ponownie, prosząc tym razem o rekompensatę.Nie kazałeś mu wyskoczyć za pierwszym razem, więc uznał, że można to zrobić ponownie.
@Itsme2003 Kosiarka musiałaby najpierw wtargnąć na twoją posesję, to nielegalne.Badacz nie wtrącił się do systemu informacyjnego PO (co również byłoby nielegalne w większości jurysdykcji).Ponadto nic nie zepsuło, w przeciwieństwie do kosiarki (która ścinała trawę).
@A. Dowiedz się, w jaki sposób nieautoryzowany test bezpieczeństwa za pomocą zautomatyzowanego narzędzia *** nie jest *** włamaniem?
@schroeder Skan nmap lub użycie testssl.sh nie są włamaniami.To samo dotyczy majstrowania przy powszechnie dostępnych danych (szukanie błędów w html + js + cookies).Jest to podobne do zrobienia zdjęcia nieruchomości, a następnie jej przeanalizowania.SQLi stanowiłoby włamanie, ponieważ służy do ujawniania prywatnych informacji lub do zmuszania systemu do wykonywania obcego kodu.
@A: Pracujesz w nadgodzinach, aby odrzucić określone szczegóły scenariusza i zastąpić je własnymi uprzedzeniami, ponieważ nie podoba ci się jedno działanie, które firma podjęła na podstawie świadomej decyzji.Po prostu się od tego wycofuję.
@schroeder Z mojego punktu widzenia wydaje się, że przyjmujesz takie same założenia, jak ja.(Nie pracuję w godzinach nadliczbowych) i dokonuję kontrowersyjnej oceny, ponieważ jest ona równie ważna, jak te zawarte w innych odpowiedziach (jestem tutaj tylko adwokatem diabła).PO przedstawia badacza jako osobę w złej wierze bez poparcia go dowodami, równie dobrze mogłoby być odwrotnie.Ponadto PO prosi o opinię, ludzie na pewno się nie zgodzą (trzeba było odłożyć to pytanie na później).
@A. Oznacza to, że aktywnie odrzucasz podane fakty, zastępując je własnymi, a następnie dokonujesz osobistej oceny charakteru PO.To bardzo, bardzo różni się od akceptacji stwierdzonych faktów (nawet jako potencjalnie stronniczych) i posuwania się naprzód z eksperymentem myślowym.* Zaatakowałeś * OP na poziomie osobistym.To jest po prostu * nie * w porządku.
Przeformułowałem swoją odpowiedź.Mam nadzieję, że lepiej pasuje do oczekiwanych standardów tego miejsca.Zgadzam się, że mój atak ad hominem szedł za daleko, nie było to konieczne, aby mówić o czym.Mam nadzieję, że @jacco przyjmie moje przeprosiny.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...