Jeg tænkte på hvordan programmørerne reagere når de har fundet et hul i et stykke software/webapplikation.
Kontakter de firmaet hvor de har fundet hullet og foretæller dem alt om hullet eller siger de først hvor hullet er, når de har fået en dusør? Og må programmørne gerne foretæller offentligt om hullet?
Med venlig hilsen
Àsgeir Gunnarsson
Stifter af SONNURMEDIA - Alt indenfor webudvikling
Jeg ville tage kontakt til firmaet og høre om de ville være interesseret i at høre nærmere om et software hul. På den måde får man hurtig en idé om de er interesseret og om de evt. ville give en dusør. Det kommer meget an på hvad det er for et software hul.
Jeg ville ikke anbefale dig at fortælle offentligt om hullet. Hvis firmaet ikke reagere på din henvendelse, kan du lave et pof (proof of concept). Altså hvor du fx skriver på en blog at det er muligt at udnytte dette software hul, men undlad at give instruktioner til hvordan det skal gøres.
Jeg er lidt tilfældigt støt på et par huller på et website
for en virksomhed der driver togtrafik i dk/europa. Det gjorde jeg fik adgang
til MySQL-databasen, samt CMS systemet. Sendte dem en mail, og fik et tak
retur.
En anden gang fik jeg adgang til ca. 200 sportskubbers CMS
system. Sendte igen en mail, og fik en tak retur. Det er fint for mig, og jeg
havde heller ikke forventet andet.
Har virksomheden udlovet en dusør for de huller du finder i
deres software, så er der vel også råd og vejledning til hvordan den afkræves?
Eller er det fordi du vil ’afpresse’ virksomheden en belønning, mod at give dem
oplysninger om sikkerhedshullet?
Du er er selvfølgelig et godt menneske, og informerer virksomheden om deres software / web application har et hul og at du kan tilbyde dem at lappe hullet for dem mod betaling. Hvis de ikke ønsker det kan de jo få deres egen programmør til at ordne det. Alt andet virker for mig som beskidt forretning, og ikke noget som jeg ville anbefale dig at komme ind i. Hvis du skal lege "hacker" og finde huller med henblik på at få dig et arbejde vil jeg anbefale dig at kigge nærmere på CIA, NASA og FBI's hjemmesider. Du får nok lidt mere konkurrence i og finde huller der, men gør du det er du så os garanteret et job når du engang kommer ud af fængslet igen og rykker direkte til start.
JEg fandt engang et hul i Cdon.com's musik download tjeneste da den var ret ny, hvor man fik ubegrænset adgang til deres downloads ved kun at betale 1 gang for 1 nummer. Skrev til dem og sendte screenshots hvordan det gjordes, fik så 300 kroners gavekort i retur.
JEg var heldig og glad, men som sagt et tak ville være rigeligt..
Jeg kan da forestille mig, at større virksomheder vil kvittere med ét eller andet. Jeg har gjort opmærksom på et par stykker, og har også fået lidt til gengæld - symbolsk, men det er også længe fint.
Jeg vil sige, at jeg ikke ville reagere på 'dig der søger en dusør'... hvis der er en fejl, så skal jeg nok høre om den, og så retter jeg den. Hvis du kan finde den, så kan andre også - og hvis de ikke kan, så er det jo lige meget. :)
Jeg er lidt tilfældigt støt på et par huller på et website
for en virksomhed der driver togtrafik i dk/europa. Det gjorde jeg fik adgang
til MySQL-databasen, samt CMS systemet. Sendte dem en mail, og fik et tak
retur.
En anden gang fik jeg adgang til ca. 200 sportskubbers CMS
system. Sendte igen en mail, og fik en tak retur. Det er fint for mig, og jeg
havde heller ikke forventet andet.
Har virksomheden udlovet en dusør for de huller du finder i
deres software, så er der vel også råd og vejledning til hvordan den afkræves?
Eller er det fordi du vil ’afpresse’ virksomheden en belønning, mod at give dem
oplysninger om sikkerhedshullet?
Med venlig hilsen Casper Schneidereit
Hej Casper
Jeg kunne aldrig drømme om at afpresse nogen, som helst. Det eneste jeg har overvejet er at begynde at lede efter huller i webapplikationer og software. Hvis man fik udlovet en dusør, hvis man fandt et hul. Havde nemlig lige læst at en programmør havde fundet 16 huller i Chrome og fik udlovet en dusør. Kunne godt tænke mig at vide fremgangsmåden hos dem hos der bevidst leder efter huller og hvad de foretager sig når de har fundet et.
Med venlig hilsen
Àsgeir Gunnarsson
Stifter af SONNURMEDIA - Alt indenfor webudvikling
Først - en dusør udloves når man VIL finde noget. Ellers hedder det en belønning. :)
Det er forskelligt fra producent til producent. Det eneste du kan gøre er, at melde fejlen på en venlig og dokumenteret måde, og så håbe du får lidt ud af det. Ellers skal du jo søge job som softwaretester.
Det er jo rigtigt at man først kan få en dusør, hvis der er udlovet en, som Kim Bang siger. Man skal nok blive software tester, for at blive belønnet for at finde huller. Hvis man finder et hul, skal man selvfølgelig være flink og rapportere hullet eller en fejlen, hvis man støder på en og måske tilbyde at hjælpe med at rette op på den.
Med venlig hilsen
Àsgeir Gunnarsson
Stifter af SONNURMEDIA - Alt indenfor webudvikling
Bliv gratis medlem
Opret bruger