LINUX.ORG.RU

Как вы будете действовать, если найдёте серьёзную уязвимость?

 ,


0

2

Представьте себе, что вы нашли уязвимость в сайте/сети средней или крупной компании. Какими будут ваши действия?

  1. Сообщу админу и ничего не буду требовать 516 (59%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Оставлю баг себе и буду внычку им пользоваться 171 (19%)

    **********************************************************************************************************

  3. Продам баг на черном рынке 96 (11%)

    ***********************************************************

  4. Сообщу админу и потребую вознаграждение за баг 96 (11%)

    ***********************************************************

Всего голосов: 879

★★★★★

Проверено: beastie ()
Последнее исправление: Klymedy (всего исправлений: 2)

Хочу мультивыбор: [x] Продам баг на чёрном рынке [x] Оставлю баг себе и буду внычку им пользоваться не факт, что это будет один и тот же баг :-D

h4tr3d ★★★★★
()

Был неприятный опыт сообщения об уязвимостях, когда меня же и обвиняли во всех смертных грехах. Теперь не заморачиваюсь.

Sadler ★★★
()

А где вариант «Ничего не буду делать»?)

zevilz ★★★
()

Попользуюсь админом, а потом продам его на чёрном рынке.

vurdalak ★★★★★
()

Если в Google Chrome, то не продам на чёрном рынке.

ZenitharChampion ★★★★★
()

Когда-то в разрабатываемом для нас софте нашел ДЫРЕНЬ, сообщил людям, которые были заказчиками софта. Те никак не отреагировали, даже доку, как я просил, не поправили, чтобы предупредить админов предохраняться. После этого пристальнее всмотрелся в приложение и обнаружил, что ДЫРЕНЬ - это и есть само приложение, поэтому забил на перечисление багов, просто огородил приложение на своем участке, а другим админам понаписал всякого в базу, чтобы было нагляднее, описал суть проблемы и через пару месяцев уволился, чтобы пойти разрабатывать приложения самому, лол. Но наши пользователи в выражениях не стесняются и суровым договором машут, поэтому мы свои ошибки быстро исправляем.
//Проголосовал за «сообщу админу»

winlook38 ★★
()
Последнее исправление: winlook38 (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

«Добром к тебе вернется».

Мульт говорящая рыба 1985 г. :-)

Тот, кто рисовал Доброго Э-эха, перед этим, видимо, жестко чем-то упоролся :D

Twissel ★★★★★
()
Ответ на: комментарий от dhameoelin

Если я скажу, что нет, вы ж все равно мне не поверите :D

DeadEye ★★★★★
()

Разрывался между сам буду юзать и сообщу админу без вознаграждения.

Всё зависит от того, что это за ресурс, если тебя неправомерно забанили на ресурсе, то не грех воспользоваться уязвимостью и разбанить себя.

lexxus-lex ★★★
()

Нашел на работе две баги - взамен мне выдали безлимитку 100 мбит и право ставить на мой комп все, что захочу. Кроме этого заслужил право знать один из сетевых админских паролей)). Но это скорее уже потому, что неоднократно выручал админов, территориально расположенных в других районах города.

saibogo ★★★★
()

Попробую продать, а че еще делать с ней.

loz ★★★★★
()
Ответ на: комментарий от Valkeru

особо упоротые бараны ещё и заявление накатают за «неправомерный доступ к компьютерной информации»

Такое отношение заставляет владельца информации действовать по-другому.

andrew667 ★★★★★
()

Создам голосование на ЛОРе.

shatsky ★★
()

Где вариант «ничего не буду делать»?

Когда я только начинал карьеру, занесло меня в вонючую питерскую контору под названием «Кодекс». Делали мы проект для одного очень силового и очень государственного московского заказчика. Утечек там боялись до такой степени, что даже заставили нас убрать со сплэш-скрина слова «Федеральная Служба Охраны» — чтобы никто не знал, на кого мы работаем.

Ну, дедлайн проекта прошёл ещё до того, как я туда пришёл. И второй дедлайн тоже. Раз в два-три месяца наши менеджеры ездили в Москву, а, вернувшись, гордо сообщали, что нам опять перенесли дедлайн.

Так вот. База, которую мы использовали, была доморощенной и SQL-подобной (нет, это не был нормальный SQL). Консоли для неё не было вообще. Поэтому чисто для удобства я сделал маленькую страничку, которая позволяла ввести произвольный запрос к базе и тут же его выполнить. Чисто для облегчения работы. Код-ревью там не было, контроль версий... не помню, но работали практически без бранчей, так что впендюрил я это дело прямо в мастер.

Увольняясь, я эту страничку не убрал. И никому про неё не говорил. Если (а это большое если) проект таки выкатили, то где-то болтается сайт, на котором, если зайти по специальному адресу, можно поиметь базу так, как захочется. И ни засекреченный заказчик, ни «Кодекс» об этом не знает.

Miguel ★★★★★
()

Оставлю баг себе и буду внычку им пользоваться

Тю, понятное дело!

Gonzo ★★★★★
()

Сообщу админу и ничего не буду требовать

Свобода у всех едина

bookman900 ★★★★★
()
Ответ на: комментарий от Valkeru

либо всё-таки отправить информацию об уязвимости, но откуда-нибудь с совершенно левой свежезарегистрированной почты, которую сразу удалить

это просто уточнение пункта «Сообщу админу и ничего не буду требовать», нет?

next_time ★★★★★
()

*Ресурсы - античат, хабра, reddit, форчан, и т.д.

  • Если уязвимость в СПО и контора этичная - сообщу в апстрим и админу.
  • Если уязвимость в СПО и контора неэтичная - сообщу только в апстрим, после выхода фикса запощу информацию на *ресурсах о наличии уязвимости в этой конторе.
  • Если уязвимость не в СПО - запощу информацию на *ресурсах.
  • Если уязвимость не в софте, а в конфигурации сети, то:
    • Если контора этичная - сообщу админу о наличии уязвимости и потребую вознаграждение, если не захотят сотрудничать запощу информацию на *ресурсах.
    • Если контора неэтичная - запощу информацию на *ресурсах.

Зачем на ресурсах? Сам лично я не заинтересован в использовании уязвимостей, но информация может быть полезна сообществу.

Chaser_Andrey ★★★★★
()

уволю админа и буду внычку пользоваться багом для слежки за сотрудниками для последующего увольнения недобросовестных и неугодных

amorpher ★★★★★
()

Пофикшу баг, если менее часа времени займет, добавлю задачу на трекер, если больше. Если полная ж, то сделаю реквест для перезаливки на прод.

deathangel908 ★★
()
Последнее исправление: deathangel908 (всего исправлений: 1)

Продам, если он денег стоит больше, чем мое чсв. А если баг в ЛОР-е, отдам анонимусу!

mandala ★★★★★
()
Ответ на: комментарий от Valkeru

Ибо особо упоротые бараны ещё и заявление накатают за «неправомерный доступ к компьютерной информации».

И правильно сделают! Хакеров надо мочить!

mandala ★★★★★
()
Ответ на: комментарий от Miguel

Если за вами так следили, почему не было онлайн слежки за каждым работником? Недоработочки в безопасности...

память тебе тоже стереть забыли...

mandala ★★★★★
()
Ответ на: комментарий от swwwfactory

А зачем ему сообщать в общем случае? В СПО понятно, но во всякую проприетарщину вне рамок хорошо зарекомендовавшего себя проекта в части принятия сообщений об ошибках я ничего сообщать не буду. Обойдутся и себе дороже.

mandala ★★★★★
()
Ответ на: комментарий от mandala

А чё мерятся-то? Если можно говорить, то уже не интересно...

Я потерял нить разговора. О чём речь? Что на что выкладывать?

Miguel ★★★★★
()

Где вариант ничего не буду делать?

FreeLiver ★★★
()

Наркоманский опрос — отдам баг разработчикам, буду или не буду что-то требовать взамен зависит от того, сколько они с меня стребовали.

dn2010 ★★★★★
()
Ответ на: комментарий от upcFrost

Ну значит это какие-то совсем отмороженные товарищи были.

Vier_E ★★★
()

Если это СПО, то «Сообщу админу» (то есть наверх, я сам админ), с закрытым софтом возможны варианты

at ★★
()

[x] потребую вознаграждения, если у продукта есть программа bug bounty

selivan ★★★
()

«Сообщу админу и ничего не буду требовать»

Ибо моя деловая репутация стОит дороже.

Bioreactor ★★★★★
()
Ответ на: комментарий от Valkeru

но откуда-нибудь с совершенно левой свежезарегистрированной почты, которую сразу удалить

Тогда уже и почту нужно регать под тором, или двойным впном с девственно чистым профилем браузера. И кстати удалять её совершенно не обязательно, т.к. в ~90% случаев информация остаётся нетронутой, лишь ставится метка «удалено».

Но в целом мысль трезвая, уж больно много всяких идиотов развелось способных за помощь ещё и проблем тебе надарить, после которых сто раз пожалеешь что решил помочь.

soko1 ★★★★★
()
Последнее исправление: soko1 (всего исправлений: 1)

Кстати, был у меня один странный случай, когда чувак нашёл багу у клиента в каких-то скриптах, нашёл в ~/.ssh/config на ломанном сервере список доступных серваков, вошёл на них по ключу и исправил везде эту ошибку и потом отписал об этом владельцу. Это пример того, как поступать НЕ НАДО, хорошо что такого варианта ответа вообще нет, значит таких «умников» не так много по всей видимости :) Хотя вероятнее всего человек так поступил из хороших побуждений, но всё равно это выглядело очень странно и радости уж точно не прибавляло.

soko1 ★★★★★
()

Зависит от того, как такая контора относится к багрепортам. Если гугл или фейсбук, то лучше у них получить 1337*n баксов, чем гемороиться с чёрными рынками. А если рога и копыта, то если им сообщишь, ещё и бычиться начнут и угрожать.

PolarFox ★★★★★
()

Продам баг чёрным, на рынке.

*fixed

Yustas ★★★★
()

Не хватает варианта для особо правильных:

Сообщу админу и вышлю ему вознаграждение с возможным решением

ilnnli
()

Оставлю баг себе и буду внычку им пользоваться

прочитал как «внучку им пользовать»

eR ★★★★★
()

Перейду на аналог, сообщу мейнейнеру/в апстрим и ничего не буду делать. Предложенные варианты — отстой.

t184256 ★★★★★
()

Пришлю админу эксплойт.

A-234 ★★★★★
()

5-ый вариант - «если будет не лень - подъ@#бну админа»

MKuznetsov ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.