Поиск уязвимостей - безопасно ли?

maniak · 01.12.2006 19:13

Вот решил, предположим, Вася Пупкин поискать уязвимости на наших саитах, ну в общем поискал - сделал выводы для себя, намеревался на следующий день сообщить админам об уязвимостях, но какова вероятность, что админы сайта не уловят в его действиях корыстный мотив и не станут копать глубже, дабы засадить нашего Васю на срок от 3 до 5? Что нужно сделать - кроме проксей, что бы администраторы частных сайтов не подняли бы шухер во время мирного поиска уязвимостей с дальнейшей передачей данных админам сайта?

Eldar Ishimbaev · 01.12.2006 19:20

Цитата:

Сообщение от maniak

Вот решил, предположим, Вася Пупкин поискать уязвимости на наших саитах, ну в общем поискал - сделал выводы для себя, намеревался на следующий день сообщить админам об уязвимостях, но какова вероятность, что админы сайта не уловят в его действиях корыстный мотив и не станут копать глубже, дабы засадить нашего Васю на срок от 3 до 5? Что нужно сделать - кроме проксей, что бы администраторы частных сайтов не подняли бы шухер во время мирного поиска уязвимостей с дальнейшей передачей данных админам сайта?

Об инциденте или уязвимости можно сообщить Службе UZ-CERT. Мирным поиском уязвимостей можете заниматься, если вы соответствующий орган. А вопросы взломов здесь не обсуждаются. Считайте это предупреждением. В дальнейшем последует бан.

maniak · 01.12.2006 19:28

Касательно вопросов взлома - меня здесь ничего не интересует.
Меня интересует сам метод уведомления об уязвимостях на сайтах, были случаи, когда при мирном уведомлении о уязвимостях, админ обижался на весь мир и был крайне возбужден, доходило чуть-ли не до разбирательств.

Мне надо конкретно знать, нашел я уязвимость - пишу значит вам - дальше на ваше усмотрение, или же?

Vitaliy Fioktistov · 01.12.2006 19:47

Оп, а я в другой теме тот же вопрос поднимаю.

Хорошо, а можно узнать что считается взломом?
Ввод в форму: l/p:admin/123, сканирование портов, изучение веб-страниц и т.д. и т.п.???

Насколько я знаю, в мировой практике понятия взлома сильно разнятся от законодательства к законодательству.

Eldar Ishimbaev · 01.12.2006 19:57

Цитата:

Сообщение от maniak

Меня интересует сам метод уведомления об уязвимостях на сайтах, были случаи, когда при мирном уведомлении о уязвимостях, админ обижался на весь мир и был крайне возбужден, доходило чуть-ли не до разбирательств.

Мне надо конкретно знать, нашел я уязвимость - пишу значит вам - дальше на ваше усмотрение, или же?

"Сообщить об этом Службе реагирования на компьютерные инциденты UZ-CERT".
Служба проанализирует найденную уявимость и выдаст соответствующие рекомендации соответствующим админам соответствующего ресурса. А дальше все на усмотрение владельцев и админов данного ресурса. Устранят они уязвимость или нет - мы не контролируем.

Eldar Ishimbaev · 01.12.2006 20:04

Цитата:

Сообщение от VITUS

Оп, а я в другой теме тот же вопрос поднимаю.

Хорошо, а можно узнать что считается взломом?
Ввод в форму: l/p:admin/123, сканирование портов, изучение веб-страниц и т.д. и т.п.???

Насколько я знаю, в мировой практике понятия взлома сильно разнятся от законодательства к законодательству.

Получили доступ на чужой сервер или вебсайт, залили туда свое ПО, удалили информацию, слили данные, сделали дефейс, внедрили вирус или троян, использовали ресурс как плацдарм для атаки на другие ресурсы - все это взлом.

Evgeniy Sklyarevskiy · 01.12.2006 22:13

Цитата:

Сообщение от Eldar Ishimbaev

Получили доступ на чужой сервер или вебсайт, залили туда свое ПО, удалили информацию, слили данные, сделали дефейс, внедрили вирус или троян, использовали ресурс как плацдарм для атаки на другие ресурсы - все это взлом.

дефейс обычно просто предупреждение админу, что что-то не так с защитой - невинная шалость. Дефейснутые сайты гордятся такими акциями - всякую мелочь не будут проверять...

maniak · 01.12.2006 22:21

Хех, что за чушь - "дефейснутые сайты гордятся этим". Представь вот, кому-либо на лбу напишут "Ты Олень" - что он будет гордится этим? Дефейс - это удар по репутации сайта, по безопасности юзеров в конце концов.

Dengiz · 01.12.2006 22:38

Цитата:

Сообщение от maniak

Хех, что за чушь - "дефейснутые сайты гордятся этим". Представь вот, кому-либо на лбу напишут "Ты Олень" - что он будет гордится этим? Дефейс - это удар по репутации сайта, по безопасности юзеров в конце концов.

Польностью согласна!

Eldar Ishimbaev · 02.12.2006 10:49

Цитата:

Сообщение от Cкляревский Е. С.

Дефейснутые сайты гордятся такими акциями - всякую мелочь не будут проверять...

Это не значит, что задефейсенный сайт представлял какую-либо ценность. Это значит, что там просто обнаружили уязвимость.

Знаете ли Вы, что ...
	...для каждой темы существует свой раздел. Изучите структуру форума. Если соответствующего раздела нет, то всегда есть раздел "Разное" :)
	<< Предыдущий совет - Случайный совет - Следующий совет >>

Реклама и уведомления
<a href='http://adv.uzinfocom.uz/www/delivery/ck.php?n=a528de92&cb=INSERT_RANDOM_NUMBER_HERE' target='_blank'><img src='http://adv.uzinfocom.uz/www/delivery/avw.php?zoneid=65&cb=INSERT_RANDOM_NUMBER_HERE&n=a528de92&ct0=INSERT_CLICKURL_HERE' border='0' alt='' /></a>