不久前不小心发现了一个百万用户网站的漏洞。
是的,你没听错:是意外。
问题是,我不是黑客。我从来没有试图解决任何问题。
那天我像往常一样浏览网站,然后我发现了这个网站潜在的漏洞。然后我就害怕了,非常害怕。
我根据我唯一的计算机知识来判断:
1)我发现的漏洞对这个网站非常危险。
2)如果我在这些信息上犯了错误,我会有麻烦的。
所以,我做了我应该做的事:我报告了四次这个漏洞。
问题是他们没有负责任的披露政策。这意味着我没有正式向团队报告这个问题,也没有关于他们将如何处理这个披露的指示。
这部分是最可怕的。如果没有这样的政策,发现服务漏洞的人需要在道德义务和自身安全之间做出选择,即使是偶然发现的。
我不知道我发现的漏洞是否会暴露敏感数据,但理论上是可能的。我没有试图找到答案。这与我无关。进一步研究可能会遇到麻烦。
于是,我发现了漏洞,我举报了漏洞,然后我跑了。之后,我度过了一个不眠之夜,尽管我没有做错什么。
很容易建立一个网站。
互联网已经存在很长时间了,现在几乎每个人都可以拥有一个网站。
你只需要学习大约一周,就可以掌握必要的技术来建立和启动网站。如果你不想自己做,有无数的服务可以帮助你完成。
这是一件伟大的事情。
如今,我们很容易分享想法,推广产品,联系他人,但我们也需要付出相应的代价。
随着网站和软件的建立越来越容易,黑客攻击的难度大大降低。
我们都看过关于青少年入侵政府机构和大公司的报道。
这样做的原因是任何人都可以访问互联网,有些人肯定会试图
任何运行过Web每个服务器的人都知道这一点。您的服务器每天都会收到数百甚至数千个非常奇怪的请求,包括18世纪俄罗斯历史PDF。他们正在寻找可能危及网站安全的错误。
学习简单但破坏性的漏洞技术并不难,有很多工具可以自动扫描。
如果黑客想尝试不那么复杂的攻击,他们可以设置工具,在网上搜索他们可以使用的问题,然后他们可以出去喝咖啡。这是真的。
所以每年都会收到各种重大黑客事件的消息。一些大公司没有发现问题,所以即使是实习生也应该能够处理。
比如Tweetdeck的XSS,iPhone塑料溢出,WhatsApp联想销售的黑点漏洞Superfish恶意软件设备,Adobe密码安全性差等。
仅去年一年,一家人就被称为GnosticPlayers黑客(或组织)在短短几个月内曝光了近10亿条用户记录。