uForum.uz
Страница 4 из 4 123 4
Показывать 40 сообщений этой темы на одной странице

uForum.uz (https://uforum.uz/index.php)
-   Информационная безопасность (https://uforum.uz/forumdisplay.php?f=125)
-   -   Поиск уязвимостей - безопасно ли? (https://uforum.uz/showthread.php?t=575)

Fozil Teshaev 05.01.2007 13:28
Цитата:
Сообщение от Albert (Сообщение 2453)
Счетчики и рейтинги = это хорошо. Вот только где код то взять. Я уже год хе-хе поставить не могу, вроде и писал, давал заявку, но ответа и привета не получил. Че делать то пипел!!!
Счетчик www.uz автоматически можете получит правильно указав Ваш сайт по этой ссылке: http://www.uz/rus/toprating/cmd/cod
Введите URL Вашего сайта:
Главное Вы должны быт регистрированы на www.uz указав, что будете участвовать в Топ-рейтинге. Если возникнут вопросы с удоволствием помогу.

Maxim Khalmatov 05.01.2007 13:43
Цитата:
Сообщение от maniak (Сообщение 359)
Вот решил, предположим, Вася Пупкин поискать уязвимости на наших саитах, ну в общем поискал - сделал выводы для себя, намеревался на следующий день сообщить админам об уязвимостях, но какова вероятность, что админы сайта не уловят в его действиях корыстный мотив и не станут копать глубже, дабы засадить нашего Васю на срок от 3 до 5? Что нужно сделать - кроме проксей, что бы администраторы частных сайтов не подняли бы шухер во время мирного поиска уязвимостей с дальнейшей передачей данных админам сайта?
Уважаемый Maniac. Я бы разделил ваш вопрос на две части: "Чтобы они...." и "Чтобы я".
Чтобы они: чтобы они уловили или не уловили, в их компании, как в компании, где управляют ИБ, должна быть проведена оценка рисков и должно проводиться соответствующее управление ими. Другими словами если в процессе анализа рисков веб-сайта было определено, что сканирование - это риск, ну тогда они просто обязаны создать инцидент и расследовать его. С другой стороны, если даже это не определено как риск, то факты попыток переодоления средств защиты должны подвергаться постоянному мониторингу. И такие факты обязательно должны участовать в процессе переоценки рисков.
Чтобы я: С другой стороны аудит безопасности системы (ведь сканирование Васи Пупкина это именно аудит, а не попытка взлома не так ли ?) должны быть санкционированы и согласованы с владельцами ресурса. Ведь в противном случае, самые чистые намерения могут быть истолкованы неправильно (ну представьте себе например, что вы пробуете безопасность дома своего друга и в процессе сканирования пробуете разбить окно, оно то разобьется, но что скажет ваш друг ?) и тогда возникнет нехорошая ситуация - инцидент ИБ, и именно такие вещи обычно указываются во внутренних документах по ИБ, например: пользователь при выявлении уязвимости должен немедленно сообщить о ней в службу ИБ, и не пытаться воспользоваться уязвимостью, так как эти действия могут быть расценены как злонамеренные.
Так что весь ваш вопрос сводится не к вероятностной оценке, а к знанию того, насколько действия Васи Пупкина были правомочными и санкционированными и насколько организована ИБ у владельца ресурса.
И еще процесс сканирования ресурсов взятыми из Интернета бесплатными и не очень программами с целью сообщить по почте на следующий день - это не очень хорошо, и честно почти бесцельно или злонамеренно. Аудит должен проводится всегда целенаправленно и с учетом анализа рисков.

maniak 05.01.2007 13:47
Признателен за информацию, благодарю.


Текущее время: 13:06. Часовой пояс GMT +5.
Страница 4 из 4 123 4
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. Перевод: zCarot
OOO «Единый интегратор UZINFOCOM»