Frage:
E-Mail bezüglich Sicherheitslücke in der Website erhalten
WELZ
2018-01-21 11:18:45 UTC
view on stackexchange narkive permalink

Ich erhielt eine E-Mail an techsupport @ websitename .com (ziemlich allgemeine E-Mail), in der darauf hingewiesen wurde, dass meine Website usw. usw. eine Sicherheitslücke aufweist.

Meine erste Reaktion war diese Das war ein Betrug. (Wie / warum haben sie unsere Website gefunden?)

Allerdings schienen sie (bisher) nicht nach Geld zu suchen, und sie hatten es auch per E-Mail von einem Google Mail-Konto aus gesendet (was mir nicht stimmte) , Spam wird normalerweise von seltsamen Domains gesendet) - auch Google hat es als wichtig markiert.

Das gesamte Schreiben ist eindeutig nicht gut ausgebildet, aber es ist nicht so schlecht wie normalerweise.

Die E-Mail-Adresse schien auch eine Spieleradresse zu sein (ein seltsamer Name und ein paar Ziffern).

Dies ist die E-Mail:

Hallo,

Ich habe in ' websitename .com' eine Sicherheitsanfälligkeit für Webanwendungen [XSS] gefunden, die einen Angreifer dazu veranlassen kann, nicht authentifizierte Aufgaben wie Kontoübernahmen und andere schädliche Dinge wie Webdefacement (Ihre Site) und Port-Scanning auszuführen über Ihre Server an andere Server im Internet oder über Ihre Website zur Verbreitung von Ransomware. Dieser Fehler muss so schnell wie möglich behoben werden.

Als verantwortungsbewusster Sicherheitsforscher sende ich diese E-Mail direkt an du ohne Wenn Sie also Bedenken hinsichtlich der Sicherheit Ihrer Website haben und detaillierte Informationen und einen Proof-of-Concept für diesen Fehler wünschen, kontaktieren Sie mich bitte per E-Mail - email @ gmail.com

Würde mich freuen zu wissen - bieten Sie Belohnungen (Bug Bounty) / Beute als Zeichen der Wertschätzung für das Melden von Bugs an?

Vielen Dank,

- (Fremd klingend) Name

Kursiv wurde aus Datenschutzgründen geändert sub>

Frage:

Sind dies typische Dinge, die Betrüger tun würden?

Wenn ja, was versuchen sie zu gewinnen, was wäre (wenn überhaupt) das Risiko, auf die E-Mail zu antworten und weitere Informationen anzufordern .

Auf der anderen Seite, wenn es sich tatsächlich um einen legitimen "verantwortungsbewussten Sicherheitsforscher" handelt, welche Art von Fragen sollte ich stellen, um dies herauszufinden.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/73274/discussion-on-question-by-welz-email-received-regarding-security-flaw-in-website).
Sieben antworten:
David
2018-01-21 12:51:34 UTC
view on stackexchange narkive permalink

TL; DR : Es ist wahrscheinlich gut gemeint und kein Betrug, aber nur schlecht geschrieben.

Ich kenne keine Art von Betrug, der darauf basieren würde dazu. Sicherlich gab es Versuche, Websitebesitzer für Geld zu erpressen, basierend auf dem Wissen über Website-Schwachstellen (und der impliziten Bedrohung, diese auszunutzen), aber das sieht hier nicht so aus.

Es ist nicht sehr gut -geschriebene Offenlegungs-E-Mail. Ich bin sicherlich schon einmal auf Sicherheitslücken gestoßen (offensichtlich wäre der Versuch, sie auf einer Site auszunutzen, die keine Erlaubnis erteilt hat, illegal, aber es gibt einige, die offensichtlich sind, ohne eine Ausnutzung zu versuchen) und habe E-Mails mit der gleichen Absicht wie die gesendet Autor oben, aber ich versuche, alle Details in der ersten E-Mail anzugeben. Ich möchte, dass hilft. Ich möchte nicht, dass im E-Mail-Land hin und her springt.

Wenn ich es wäre, würde ich sie nach Details fragen: Welche Seite (oder Seiten) enthalten die Sicherheitslücken? Welche Parameter sind injizierbar und ob sie einen Proof of Concept teilen könnten? Wenn Sie mit XSS nicht vertraut sind, empfehlen wir Ihnen, die OWASP-Seite zur Sicherheitsanfälligkeit zu lesen. Es ist sowohl sehr verbreitet und kann je nach Kontext kritisch sein. Ein typischer Proof of Concept (PoC) für XSS ist weder für Sie noch für Ihre Site gefährlich, sondern öffnet beispielsweise ein JavaScript-Warnfeld, das den Hostnamen der Site, Ihre Sitzungsköche oder sogar nur die Nummer 1 enthält. Alle diese zeigen, dass ein böswilliger Angreifer möglicherweise Javascript auf Ihrer Site ausführt, was erhebliche Auswirkungen auf die Sicherheit Ihrer Site haben würde.

Wie einige bereits betont haben, ist dies auch möglich Mangel an Informationen ist, dass sie es "käfig" spielen und nach einer Belohnung / Zahlung suchen. Wenn auf Ihrer Website keine Bug Bounty veröffentlicht wurde, sind Sie natürlich nicht dazu verpflichtet.

Ja, das ist nur jemand, der Arbeit sucht.
Ich kann mindestens einen Grund dafür sehen, dass in der ersten E-Mail keine Details angegeben wurden.Wenn Sie auf eine Belohnung hoffen, möchten Sie, dass diese zustimmt, bevor Sie die Informationen senden.Wenn Sie alles auf einmal senden, können Sie leicht befürchten, dass sie es reparieren, ohne Sie jemals für Ihre Hilfe zu entschädigen oder gar anzuerkennen.(Und wenn dies egoistisch erscheint, muss man bedenken, dass die meisten Menschen motivierter wären, Fehler zu finden / zu melden, nachdem sie für frühere belohnt wurden ... selbst wenn diese Belohnung nur deshalb erfolgte, weil das Unternehmen sie nicht vermeiden konnte.)
@Mehrdad Das ist sehr wahr.Ich habe über diesen einen Kerl gelesen, der in Facebook einen Millionen-Dollar-Fehler gefunden hat, und sie haben ihn nicht bezahlt, indem sie gesagt haben, weil er die Eskalation von Privilegien geschafft hat (gegen die das Bug-Bounty-Programm nichts gesagt hat und einen größeren zugrunde liegenden Fehler gefunden hat), er hat gegen diesen verstoßenBug Bounty TOS.
@DuncanXSimpson, über Wiesel sprechen!Grund Nr. 1.232.135, FaceBook niemals zu vertrauen.
Ein Proof of Concept kann auch "console.log" aufrufen, was einige Kenntnisse der Browser-Entwicklungstools erfordert, um das Ergebnis von anzuzeigen.
Wenn Sie nicht alle Details preisgeben, können Sie möglicherweise feststellen, ob jemand darauf geschaut hat (ohne versuchen zu müssen, die Website zu nutzen), indem Sie die entsprechende Technologie des Unternehmens dazu zwingen, sich mit ihm in Verbindung zu setzen, anstatt die Details zur Nutzung zu senden (was möglicherweise hilfreich ist)Kennzeichnen der E-Mail auch als Spam) für die allgemeinen Kontakte, die er wahrscheinlich verwendet hat, um das Unternehmen zu erreichen.
Der Betrug ist: "Hier ist der Patch, füge ihn einfach in die Body-Tags ein", was eigentlich der XSS ist ...
@BaileyS Das scheint eher SE als XSS zu sein (da es nicht standortübergreifend ist).
Tom
2018-01-21 14:39:37 UTC
view on stackexchange narkive permalink

Scheint kein Betrug zu sein, obwohl es sich aufgrund fehlender Details möglicherweise um eine Art Massenmailing handelt. Vielleicht braucht ein Typ Geld, führt Nessus auf einer Reihe von Websites aus und sucht jetzt nach einer kleinen Belohnung von jedem?

Ich würde Nessus (oder einen anderen Scanner) selbst ausführen, um dies zu überprüfen, und dann den Typen kontaktieren und fragen Sie nach Details. Beantworten Sie ehrlich seine Frage zu Fehlerbelohnungen. Wenn Sie ein Bug-Belohnungsprogramm ausführen und er eines gefunden hat, sollte er seine Belohnung erhalten. Dafür ist das Programm gedacht, oder? Wenn Sie dies nicht tun, erklären Sie einfach, dass Sie dies nicht tun, sind aber trotzdem dankbar für sein Heads-up.

Reactgular
2018-01-22 22:40:35 UTC
view on stackexchange narkive permalink

Dies wird als Angstmarketing oder Angstappell bezeichnet. Es ist eine Marketingmethode, die Angst als Auslöser für Aktion verwendet.

https://en.wikipedia.org/wiki/Fear_appeal

Die E-Mail enthält die 3 Grundphasen von Angst Appell .

  1. stellen ein Risiko dar.
  2. stellen eine Anfälligkeit für das Risiko dar.
  3. schlagen eine Schutzmaßnahme vor.
    4. ol>

    Dies wird im Allgemeinen als unethisch angesehen.

    Ich weise nur auf diesen Aspekt hin, da es sich bei der E-Mail um eine handelt unaufgeforderter Versuch, mit Angst eine Antwort zu bekommen. Es ist die Tatsache, dass der Absender die Details des Problems völlig ausgelassen hat. Sie müssen sie kontaktieren, um eine Antwort zu erhalten, und sie haben bereits angegeben, dass sie ein Zeichen der Wertschätzung erwarten.

    Wenn ein Betrüger fischen nach Opfern müssen sie zuerst eine Liste möglicher Ziele qualifizieren . Sein / ihr Betrug beinhaltet Angst als Auslöser für Maßnahmen. Wenn Sie darauf reagieren, qualifizieren Sie sich als Person, die auf Angst -Taktiken reagiert.

    Das ist es wahrscheinlich eskalieren sie die Schwere des Problems, bis ein Handel für Details über die Sicherheitslücke abgeschlossen werden kann. Er / sie wird höchstwahrscheinlich die Zahlung per Bitcoin für die Informationen anfordern.

    Ein echter professioneller Sicherheitsberater hätte vollständige Kontaktdaten, Postanschrift und Telefonnummer ihrer Beratungsdienste. Sie hätten auch die Vorteile ihrer Dienstleistungen erwähnt. In dieser E-Mail wird nur das Risiko erwähnt, dass nicht geantwortet wird.

    Der beste Ansatz für die Bearbeitung dieser E-Mail besteht darin, sich an einen kreditwürdigen Sicherheitsberater, und beauftragen Sie sie, die Ansprüche zu untersuchen.

Während ein professioneller Sicherheitsberater das tun kann, was ist mit einem Amateur, der seinen Fuß in die Tür bekommt?Sie spielen mit XSS herum und finden eine Site, die anfällig ist. Deshalb beschließen sie, ihren Namen durch Senden einer E-Mail ein wenig bekannt zu machen.Das klingt wahrscheinlicher als dies ein Betrug ist, da ein Betrug dazu neigt, zumindest etwas bedrohlicher zu sein oder das Risiko der Verwundbarkeit von Anfang an zu übertreiben.
+1.In Anbetracht der Tatsache, dass sie nichts preisgegeben haben (das OP offen gelassen) und bereits über eine Belohnung gesprochen haben, würde ich sicherlich jemand anderen einstellen, um Nachforschungen anzustellen.Welche Qualität ist von einer unethischen Person überhaupt zu erwarten?
Der Schreibstil der Mail macht deutlich, dass dies kein professioneller Berater ist.Es könnte ein Amateur sein, der auf eine kleine Belohnung hofft, vielleicht jemand aus einem Land der 2. oder 3. Welt, in dem ein paar Euro echtes Geld sind.
+1 Dies war meine unmittelbare Reaktion;Es ist offensichtlich, dass sie A. versuchen, OP zu erschrecken, und B. nach einer Auszahlung suchen.Das ist Betrug per E-Mail 101. Hören Sie auf, diese zwielichtige Person zu kontaktieren, und finden Sie jemanden, dem Sie vertrauen können.
Dmitry Grigoryev
2018-01-23 14:51:46 UTC
view on stackexchange narkive permalink

Es muss kein Betrug sein, aber ich würde der Person, die Sie kontaktiert hat, trotzdem nicht vertrauen:

  • Sie erklären, eine Sicherheitslücke gefunden zu haben, legen aber nicht den geringsten Beweis vor
  • Sie sagen, dass es schlimm genug für Sie ist, einem Risiko ausgesetzt zu sein, aber lassen Sie sich ausgesetzt, bis Sie sie kontaktieren >

    Natürlich möchten Sie diesen Personen Ihre Online-Sicherheit nicht anvertrauen. Wenn Sie sich von ihnen bei dieser Sicherheitsanfälligkeit helfen lassen, wissen sie viel mehr über Ihr System als jetzt. Wenn Sie jemals entscheiden, dass Sie ihre Dienste nicht benötigen, woher wissen Sie, dass die nächste Sicherheitslücke, die sie finden, nicht auf dem Exploit-Markt landet?

    Wenn Ihre Website kommerziellen Wert hat, würde ich auf jeden Fall um Hilfe bitten Sicherheitsexperten in Ihrem Unternehmen, möglicherweise Ihrem Hosting-Anbieter, oder stellen sogar jemanden ein, der glaubwürdiger ist, um eine Sicherheitsüberprüfung durchzuführen.

John
2018-01-23 09:09:02 UTC
view on stackexchange narkive permalink

Eine ähnliche E-Mail wurde an einen meiner Kunden gesendet, der behauptete, er habe eine SSL-Sicherheitsanfälligkeit, mit einem Angebot zur Behebung. Dieser Client verwendet kein SSL, daher war es in diesem Fall ein offensichtlicher Betrug. Es gibt mehrere E-Mails dieses Typs.

Die Tatsache, dass der Client kein SSL verwendet, ist möglicherweise eine Sicherheitslücke an sich, aber es ist schwierig, Fehler bei der Implementierung von etwas zu haben, das Sie nicht implementiert haben.
Alex Cannon
2018-01-24 02:00:11 UTC
view on stackexchange narkive permalink

Ich denke, der beste Ansatz wäre, zu antworten und zu fragen, ob die Person, die die E-Mail geschrieben hat, nachweisen kann, dass sie wirklich in der Lage ist, übermäßig auf Ihren Internetdienst zuzugreifen.

Sie können ihm die Erlaubnis geben, Ihren Dienst nur für zerstörungsfreie Demonstrationszwecke zu nutzen, da dies im Allgemeinen als illegaler, nicht autorisierter Zugriff für ihn angesehen wird, auch wenn dies nichts anrichtet. Nachdem sein Angriff erfolgreich war, können Sie über Geschäfte sprechen.

Das Gesetz über den unbefugten Zugriff auf einen Computerdienst in den USA ist sehr vage, berücksichtigt keinen Schaden oder die Absicht, Schaden zu verursachen, und kann technisch angewendet werden fast alles. Dies könnte ihn davon abhalten, seinen Angriff zu demonstrieren, obwohl es vernünftig erscheint, dies zu tun.

JetJaguar
2018-01-24 06:20:13 UTC
view on stackexchange narkive permalink

Führen Sie einen Scan auf Ihrer Website durch und finden Sie es selbst heraus. XSS-Probleme sind sehr häufig. Sie können OSSIM erhalten, das kostenlos ist und OPENVAS, einen Schwachstellenscanner, enthält. Sie können OSSIM in Virtualbox oder einem anderen Virtualisierungssystem ausführen. Scannen Sie dann die öffentliche IP-Adresse Ihrer Website und Sie erhalten einen vollständigen Bericht.

Dies beantwortet die Frage bezüglich des bestimmten empfangenen E-Mail-OP nicht wirklich.Sie beantworten die Frage so, als würde er nur fragen: "Woher weiß ich, ob ich für XSS anfällig bin?", Was natürlich nicht gefragt wurde.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...