Pytanie:
Otrzymano wiadomość e-mail dotyczącą luki w zabezpieczeniach witryny
WELZ
2018-01-21 11:18:45 UTC
view on stackexchange narkive permalink

Otrzymałem wiadomość e-mail do techsupport @ nazwa_strony internetowej .com (dość ogólna wiadomość e-mail) z informacją, że moja witryna zawiera lukę w zabezpieczeniach itp. itd.

Moja pierwsza reakcja była taka to było oszustwo. (Jak / dlaczego znaleźli naszą witrynę.)

Jednak wydawało się, że nie szukają pieniędzy (do tej pory), a także wysłali je e-mailem z konta Gmail (które wydawało mi się nierealne , spam jest zwykle wysyłany z dziwnych domen) - Google również oznaczyło to jako ważne.

Ogólnie rzecz biorąc, nie jest dobrze wykształcony, ale nie jest tak zły, jak zwykle.

Adres e-mail również wyglądał jak adres gracza (dziwna nazwa i kilka cyfr)

To jest adres e-mail:

Witaj

Znalazłem lukę w zabezpieczeniach aplikacji internetowej [XSS] w „ nazwa_strony internetowej .com”, która może prowadzić napastnika do wykonywania nieuwierzytelnionych zadań, takich jak przejęcie kont i inne złośliwe czynności, takie jak niszczenie stron internetowych (Twoja witryna), skanowanie portów przez Twoje serwery na inne serwery w Internecie lub możesz używać Twojej witryny do rozprzestrzeniania oprogramowania typu ransomware, a ten błąd należy naprawić tak szybko, jak to możliwe.

Będąc odpowiedzialnym badaczem bezpieczeństwa, wysyłam tę wiadomość bezpośrednio do ty bez upublicznienie błędu, więc jeśli obawiasz się o bezpieczeństwo swojej witryny i chcesz uzyskać szczegółowe informacje i potwierdzenie koncepcji tego błędu, napisz do mnie na mój adres e-mail - e-mail @ gmail.com

Byłoby miło, gdybyś wiedział - czy zapewniasz jakieś nagrody (nagroda za błędy) / łup jako wyraz uznania za zgłaszanie błędów?

Dziękuję,

- (Brzmiące obco) Imię

Kursywa została zmieniona ze względu na prywatność

Pytanie:

Czy jest to typowa rzecz, którą robią oszuści?

Jeśli tak, co próbują osiągnąć, jakie (jeśli w ogóle) byłoby ryzyko odpowiedzi na e-mail z prośbą o dodatkowe informacje .

Z drugiej strony, jeśli faktycznie jest to prawowity „odpowiedzialny badacz bezpieczeństwa”, jakie pytania powinienem zadać, aby się dowiedzieć.

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/73274/discussion-on-question-by-welz-email-received-regarding-security-flaw-in-website).
Siedem odpowiedzi:
David
2018-01-21 12:51:34 UTC
view on stackexchange narkive permalink

TL; DR : To prawdopodobnie dobre intencje i nie jest to oszustwo, ale po prostu słabo napisane.

Nie znam żadnego oszustwa, które byłoby oparte na to. Z pewnością były próby wyłudzenia właścicieli witryn za pieniądze w oparciu o znajomość luk w zabezpieczeniach witryn (i niejawnego zagrożenia ich wykorzystaniem), ale nie wygląda to tak, jak w tym przypadku.

Nie jest to zbyt dobre - pisemny e-mail informacyjny. Z pewnością natknąłem się wcześniej na luki w zabezpieczeniach (oczywiście próba wykorzystania ich w witrynie, która nie udzieliła pozwolenia, byłaby nielegalna, ale są takie, które mogą być oczywiste bez próby wykorzystania) i wysyłałem e-maile z takim samym zamiarem, jak autor powyżej, ale wszystkie szczegóły staram się podać w pierwszym e-mailu. chcę pomóc. Nie chcę odbijać się od e-maili.

Gdybym to był ja, zapytałbym ich o szczegóły: która strona (lub strony) zawiera luki w zabezpieczeniach, które parametry można wstrzyknąć i czy mogą mieć wspólny dowód słuszności koncepcji. Jeśli nie znasz XSS, polecam przeczytanie strony OWASP na temat luki. Jest to zarówno bardzo częste, jak i krytyczne, w zależności od kontekstu. Typowy dowód koncepcji (PoC) dla XSS nie będzie niebezpieczny dla Ciebie ani dla Twojej witryny, ale spowoduje wyświetlenie okna ostrzegawczego javascript zawierającego nazwę hosta witryny, pliki cookie sesji, a nawet tylko numer 1. Każdy z nich wskazuje, że złośliwy atakujący mógł uruchomić JavaScript w Twojej witrynie, co miałoby znaczący wpływ na bezpieczeństwo Twojej witryny.

Jak niektórzy zauważyli, możliwe jest również brak informacji, czy grają w to "chytra", szukając nagrody / zapłaty. Oczywiście, jeśli Twoja witryna nie ma opublikowanej listy błędów, nie masz takiego obowiązku.

Tak, to tylko ktoś, kto szuka pracy.
Widzę przynajmniej jeden powód, dla którego nie należy podawać szczegółów w pierwszym e-mailu.Jeśli masz nadzieję na nagrodę, powinieneś poprosić ich o wyrażenie zgody przed wysłaniem informacji.Jeśli wyślesz to wszystko w jednym ujęciu, możesz łatwo obawiać się, że mogą to naprawić, nigdy nie wynagradzając ci ani nawet nie uznając za twoją pomoc.(A jeśli wydaje się to samolubne, myślę, że musisz wziąć pod uwagę, że większość ludzi byłaby bardziej zmotywowana do znajdowania / zgłaszania błędów po otrzymaniu nagrody za poprzednie ... nawet jeśli ta nagroda wydarzyła się tylko dlatego, że firma nie była w stanie jej uniknąć.)
@Mehrdad To bardzo prawda.Czytałem o tym jednym facecie, który znalazł błąd wart milion dolarów na Facebooku, a oni uniknęli płacenia mu, mówiąc, że udało mu się eskalować przywileje (czemu program bounty nie powiedział nic przeciwko i znalazł większy błąd podstawowy), że naruszył ichWarunki korzystania z usługi bug bounty TOS.
@DuncanXSimpson, mówić o łasicach!Powód # 1,232,135, aby nigdy nie ufać FaceBookowi.
Dowód koncepcji może również wywołać `console.log`, co wymaga znajomości narzędzi programistycznych przeglądarki, aby wyświetlić wynik.
Brak podania wszystkich szczegółów może być po prostu sposobem na ustalenie, czy ktoś na nią spojrzał (bez konieczności próby wykorzystania strony), poprzez zmuszenie odpowiedniej technologii firmy do skontaktowania się z nim, zamiast wysyłania szczegółów eksploatacji (co może pomócoznaczając e-mail jako spam) do ogólnych kontaktów, których prawdopodobnie używał, próbując dotrzeć do firmy.
Oszustwo polega na tym, że „tutaj jest łatka, po prostu wklej ją w tagi treści”, czyli w rzeczywistości jest to XSS ...
@BaileyS To wygląda bardziej na SE niż XSS (ponieważ nie jest cross-site).
Tom
2018-01-21 14:39:37 UTC
view on stackexchange narkive permalink

Nie wygląda na oszustwo, chociaż może to być rodzaj masowej wysyłki ze względu na brak szczegółów. Może jakiś facet potrzebuje pieniędzy, zarządza Nessusem w kilku witrynach i teraz szuka małej nagrody od każdego z nich?

Sam uruchomiłbym Nessus (lub inny skaner), aby to sprawdzić, a następnie skontaktować się z facetem i zapytaj o szczegóły. Szczerze odpowiedz na jego pytanie dotyczące nagród za błędy. Jeśli uruchomisz program nagradzania błędów, a on go znalazł, powinien otrzymać nagrodę, po to ten program jest, prawda? Jeśli nie, po prostu wyjaśnij, że tak nie jest, ale mimo wszystko jesteś wdzięczny za jego ostrzeżenie.

Reactgular
2018-01-22 22:40:35 UTC
view on stackexchange narkive permalink

Nazywa się to marketingiem strachu lub odwołaniem do strachu . Jest to metoda marketingowa wykorzystująca strach jako czynnik wywołujący działanie.

https://en.wikipedia.org/wiki/Fear_appeal

E-mail zawiera 3 podstawowe etapy odwołania strachu .

  1. stanowią zagrożenie.
  2. stanowią podatność na to ryzyko.
  3. zasugeruj działanie ochronne.

Generalnie jest to uważane za nieetyczne.

Zwracam uwagę tylko na ten aspekt, ponieważ e-mail jest niezamawiana próba uzyskania odpowiedzi za pomocą strachu. Chodzi o to, że nadawca całkowicie pominął szczegóły dotyczące problemu. Musisz się z nimi skontaktować, aby otrzymać odpowiedź, a oni już powiedzieli, że oczekują dowodu uznania .

Kiedy oszust jest łowiący ofiary muszą najpierw zakwalifikować listę możliwych celów. Jego oszustwo obejmuje strach jako bodziec do działania, a jeśli odpowiesz, kwalifikujesz się jako osoba, która reaguje na taktykę strachu .

To prawdopodobnie będą eskalować powagę problemu, aż będzie można dokonać wymiany szczegółów na temat luki w zabezpieczeniach . Najprawdopodobniej zażąda płatności bitcoinem za informacje.

Prawdziwy profesjonalny konsultant ds. Bezpieczeństwa podałby pełne dane kontaktowe, adres pocztowy i numer telefonu ich usług doradczych. Wspomnieliby też o zaletach swoich usług. Podczas gdy tak, ten e-mail wspomina tylko o ryzyku braku odpowiedzi.

Najlepszym sposobem obsługi tego e-maila jest skontaktowanie się z wiarygodnym konsultanta ds. bezpieczeństwa i zatrudnij go do zbadania roszczeń.

Podczas gdy profesjonalny konsultant ds. Bezpieczeństwa może to zrobić, co z amatorem, który stawia nogę w drzwiach?Bawią się XSS i znajdują witrynę, która jest podatna na ataki, więc decydują się spróbować trochę ujawnić swoje imię, wysyłając e-mail.Wydaje się to bardziej prawdopodobne niż to, że jest to oszustwo, ponieważ oszustwo jest co najmniej nieco bardziej groźne lub wyolbrzymia ryzyko luki od samego początku.
+1.Biorąc pod uwagę, że niczego nie ujawnili (nie ujawniając PO) i już rozmawiają o nagrodzie, z pewnością zatrudniłbym kogoś innego do zbadania.Jakiej jakości można się spodziewać po nieetycznej osobie?
Styl listu jasno wskazuje, że nie jest to profesjonalny konsultant.Może to być amator liczący na niewielką nagrodę, może ktoś z kraju drugiego lub trzeciego świata, w którym kilka euro to prawdziwe pieniądze.
+1 To była moja natychmiastowa reakcja;jest oczywiste, że A. próbują przestraszyć OP i B. szukają wypłaty.To oszustwo e-mailowe 101. Przestań kontaktować się z tą podejrzaną osobą i znajdź kogoś godnego zaufania.
Dmitry Grigoryev
2018-01-23 14:51:46 UTC
view on stackexchange narkive permalink

To nie musi być oszustwo, ale i tak nie ufałbym osobie, która się z tobą skontaktowała:

  • deklaruje, że znalazła lukę, ale nie przedstawia najmniejszego dowodu
  • mówią, że jest to na tyle złe, że ryzykujesz, ale decydują się zostawić cię narażonym, dopóki się z nimi nie skontaktujesz.
  • pytają o nagrodę przed dostarczeniem czegokolwiek

Najwyraźniej nie chcesz powierzać bezpieczeństwa online tym osobom. Jeśli pozwolisz im pomóc Ci z tą luką, będą wiedzieć o Twoim systemie znacznie więcej niż teraz. Jeśli kiedykolwiek zdecydujesz, że nie potrzebujesz ich usług, skąd wiesz, że kolejna znaleziona luka nie trafi na rynek exploitów?

Jeśli Twoja witryna ma wartość komercyjną, zdecydowanie poprosiłbym o pomoc ekspertów ds. bezpieczeństwa w Twojej firmie, być może u dostawcy usług hostingowych, a nawet zatrudnić kogoś bardziej wiarygodnego do przeprowadzenia audytu bezpieczeństwa.

John
2018-01-23 09:09:02 UTC
view on stackexchange narkive permalink

Podobny e-mail został wysłany do jednego z moich klientów twierdząc, że ma lukę w zabezpieczeniach SSL, z ofertą naprawy. Ten klient nie używa SSL, więc w tym przypadku było to oczywiste oszustwo. Wokół krąży kilka e-maili tego typu.

Fakt, że klient nie używa SSL, być może sam w sobie jest luką w zabezpieczeniach, ale trudno o błędy w implementacji czegoś, czego nie zaimplementowałeś.
Alex Cannon
2018-01-24 02:00:11 UTC
view on stackexchange narkive permalink

Myślę, że najlepszym podejściem byłaby odpowiedź z pytaniem, czy osoba, która napisała wiadomość e-mail, ma jakikolwiek sposób na wykazanie, że naprawdę ma możliwość uzyskania nadmiernego dostępu do Twojej usługi internetowej.

Możesz dać mu pozwolenie na wykorzystanie twojej usługi wyłącznie do nieniszczących celów demonstracyjnych, ponieważ jest to powszechnie uważane za nielegalny nieautoryzowany dostęp, nawet jeśli nie szkodzi to niczego. Po udanym ataku możesz rozmawiać o interesach.

Prawo dotyczące nieautoryzowanego dostępu do usług komputerowych w USA jest bardzo niejasne, nie uwzględnia wyrządzonej szkody lub zamiaru wyrządzenia szkody i może być technicznie zastosowane do prawie wszystko. Może to powstrzymywać go przed zademonstrowaniem swojego ataku, nawet jeśli wydaje się to rozsądne.

JetJaguar
2018-01-24 06:20:13 UTC
view on stackexchange narkive permalink

Przeprowadź skanowanie swojej witryny i przekonaj się sam. Problemy XSS są bardzo powszechne. Możesz pobrać OSSIM, który jest bezpłatny i zawiera OPENVAS, skaner luk w zabezpieczeniach. Możesz uruchomić OSSIM w Virtualbox lub innym systemie wirtualizacji. Następnie zeskanuj publiczny adres IP swojej witryny, a otrzymasz pełny raport.

To tak naprawdę nie odpowiada na pytanie dotyczące otrzymanej konkretnej wiadomości e-mail.Odpowiadasz na to pytanie tak, jakby pytał tylko „skąd mam wiedzieć, czy jestem podatny na XSS?”, Co oczywiście nie było tym, o co pytano.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...