如何最好地向您自己公司的Web开发团队提出安全漏洞?
想象一下以下场景:
你在Big Co.工作,你在大厅里的同事是Big Co的公共博客系统的网络开发团队,很多Big Co员工和一些公众使用.博客系统允许任何HTML和JavaScript,并且你被告知这是一个选择(不是偶然),但你不确定他们是否意识到这一点的含义. 所以你想让他们相信这是一个坏主意.您可以在自己的博客中编写一些演示代码并生成XSS脚本,然后编写一些博客文章.不久之后,主管博客管理员(在大厅下)访问您的博客帖子,XSS将他的cookie发送给您.您将它们复制到浏览器中,然后您将以他身份登录. 好的,现在你以他的身份登录了……你开始意识到继续“破解”博客系统可能不是一个好主意.但你是一个好人!登录后你不会触摸他的帐户,你绝对不打算宣传这个弱点;你可能只想告诉他们公众能够做到这一点,以便他们可以在恶意实现同样的事情之前解决它! 这里最好的行动方案是什么? 解决方法
真的取决于你在公司的位置,大厅里的人的性质等等….
提出一个选项: 走到他们身边,用抽象的术语描述威胁(“有人可能会劫持你的饼干,反过来……”),并询问他们是否愿意看演示?如果游戏中存在很大的自负,并且你真的希望他们解决这个问题,那就不要和整个团队交谈,而只是团队负责人. 如果他们同意,请等待几个小时,然后以“他”的身份登录,并在系统中做一些非破坏性的但是很明显的事情 – 你是在他们允许的情况下这样做的.他们可能会留下深刻印象,并确保洞得到修复. 如果他们不同意并告诉你离开,那么,你必须权衡你的选择:你要么把它拿得更高,要么埋葬它.通过提及问题,您将放弃匿名发送的所有选项. 如果你不能100%确定决策链中的每个人都是合理的并且完全理解你在做什么,并且这是为了公司的利益,我就不会做任何流氓“黑客攻击” – 总是说话关于它,尤其是在大公司环境中.这个东西太容易被误解为你的恶意 – 特别是如果有人会因为建立这个安全漏洞而感到尴尬,并且想把责任归咎于其他人. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- html – Bootstrap向列添加边距
- html – 所有浏览器都忽略无名输入字段吗?
- 我们可以将Foundation与HTML5Boilerplate一起使用吗?
- 微信小程序电商实战-你所困扰的自定义顶部导航栏都在这里
- html – 如何在输入type = text上禁用拼写检查?
- html – 导入未在github页面中应用的Google API字体
- HTML – 我如何安排其他div后面的div下拉,以便覆盖下拉边界
- HTML – IE11是否支持css 3d完全转换(保留-3d)
- sublimetext2 – Sublime Text 2:禁用“Goto Anything”预
- javascript – 如何在一个人停止输入后调用一个函数?