多年来,我在编程(我的主要职业)和服务器pipe理方面积累了大量的经验,因此在安全实践中有相当不错的支持。 我也非常擅长发现软件(包括但不限于SQLi)的安全漏洞,并build立了一些可以肯定使用的站点列表。
我的问题是,我与这些网站联系的合法性是什么,他说:“我查看过您的网站,看起来很脆弱,客户数据可能会被泄露,您希望我解决这个问题吗?” 我能否发现该网站事实上易受攻击? 如果潜在客户如此希望,他们可以带我去法庭吗?
当我find一个易受攻击的站点时,我所做的只是确认并logging下这个漏洞。 我不是为了个人利益(为了修好而获得报酬,那会很好!),只是好奇而已。 这是一个可行的方式去寻找客户这种工作,或者你会推荐一个更“合法”的方式吗?
任何build议/意见将不胜感激:)
我永远不会雇用你,为一个中等规模的企业工作人员提供服务和销售工具包。 安全扫描,软件许可证pipe理,硬件,pipe理networking服务等等。但是,我从来没有使用一家公司让我感到沮丧,并试图走出困境。 这只是我build议反对的做法。
但是,我会认真对待您的电子邮件,并会联系我自己select的安全承包商,看看他们是否能find问题。
即使你说这是“为了个人利益”,我会怀疑你要么试图得到承包的日子,要么是别的什么都不对。 我绝不是质疑你的技能,只是这种做法非常可疑。
我甚至怀疑有些公司会把你的电子邮件转为合法的,或者试图起诉你,或者甚至对你发现的阻止你与其他人分享信息的漏洞进行堵塞。
底线,不要这样做。
从专业的angular度来看,超过15年,我会说 – 非常小心! 即使您在查看应用程序之前已经签有合同,但一些公司仍然颇为诉讼。 在我接触应用程序之前,我需要的法律语言是令人讨厌但必要的要求。
如果你对脆弱性的认定是完全被动的,即在“确认”之前,那么从法律的angular度来看,你可能处于相对安全的地方(不过我不是律师)。
更成熟的组织有报告联系人,你可以通知问题,有些甚至提供赏金(如谷歌,Facebook等),但大多数远不及这个级别。
如果你已经采取了积极的步骤来确认一个漏洞,那么从目标的angular度来看,你看起来就像是一个真正的攻击者,他们很可能在使用执法和法庭的权利,以防止你进一步做任何事情。
从新工作的angular度来看,也会把企业层面的组织放在一个不好的地方。 你很可能会因为没有经过正常的合同和采购程序而退出黑名单。