Поиск уязвимостей - безопасно ли?

[Fozil Teshaev]

Цитата:

Сообщение от Albert

Счетчики и рейтинги = это хорошо. Вот только где код то взять. Я уже год хе-хе поставить не могу, вроде и писал, давал заявку, но ответа и привета не получил. Че делать то пипел!!!

Счетчик www.uz автоматически можете получит правильно указав Ваш сайт по этой ссылке: http://www.uz/rus/toprating/cmd/cod
Введите URL Вашего сайта:
Главное Вы должны быт регистрированы на www.uz указав, что будете участвовать в Топ-рейтинге. Если возникнут вопросы с удоволствием помогу.

[Maxim Khalmatov]

Цитата:

Сообщение от maniak

Вот решил, предположим, Вася Пупкин поискать уязвимости на наших саитах, ну в общем поискал - сделал выводы для себя, намеревался на следующий день сообщить админам об уязвимостях, но какова вероятность, что админы сайта не уловят в его действиях корыстный мотив и не станут копать глубже, дабы засадить нашего Васю на срок от 3 до 5? Что нужно сделать - кроме проксей, что бы администраторы частных сайтов не подняли бы шухер во время мирного поиска уязвимостей с дальнейшей передачей данных админам сайта?

Уважаемый Maniac. Я бы разделил ваш вопрос на две части: "Чтобы они...." и "Чтобы я".
Чтобы они: чтобы они уловили или не уловили, в их компании, как в компании, где управляют ИБ, должна быть проведена оценка рисков и должно проводиться соответствующее управление ими. Другими словами если в процессе анализа рисков веб-сайта было определено, что сканирование - это риск, ну тогда они просто обязаны создать инцидент и расследовать его. С другой стороны, если даже это не определено как риск, то факты попыток переодоления средств защиты должны подвергаться постоянному мониторингу. И такие факты обязательно должны участовать в процессе переоценки рисков.
Чтобы я: С другой стороны аудит безопасности системы (ведь сканирование Васи Пупкина это именно аудит, а не попытка взлома не так ли ?) должны быть санкционированы и согласованы с владельцами ресурса. Ведь в противном случае, самые чистые намерения могут быть истолкованы неправильно (ну представьте себе например, что вы пробуете безопасность дома своего друга и в процессе сканирования пробуете разбить окно, оно то разобьется, но что скажет ваш друг ?) и тогда возникнет нехорошая ситуация - инцидент ИБ, и именно такие вещи обычно указываются во внутренних документах по ИБ, например: пользователь при выявлении уязвимости должен немедленно сообщить о ней в службу ИБ, и не пытаться воспользоваться уязвимостью, так как эти действия могут быть расценены как злонамеренные.
Так что весь ваш вопрос сводится не к вероятностной оценке, а к знанию того, насколько действия Васи Пупкина были правомочными и санкционированными и насколько организована ИБ у владельца ресурса.
И еще процесс сканирования ресурсов взятыми из Интернета бесплатными и не очень программами с целью сообщить по почте на следующий день - это не очень хорошо, и честно почти бесцельно или злонамеренно. Аудит должен проводится всегда целенаправленно и с учетом анализа рисков.

[maniak]

Признателен за информацию, благодарю.