如何最好地向您自己公司的Web开发团队提出安全漏洞?

如何最好地向您自己公司的Web开发团队提出安全漏洞?,第1张

概述想象一下以下场景: 你在Big Co.工作,你在大厅里的同事是Big Co的公共博客系统的网络开发团队,很多Big Co员工和一些公众使用.博客系统允许任何HTML和JavaScript,并且你被告知这是一个选择(不是偶然),但你不确定他们是否意识到这一点的含义. 所以你想让他们相信这是一个坏主意.您可以在自己的博客中编写一些演示代码并生成XSS脚本,然后编写一些博客文章.不久之后,主管博客管理员 想象一下以下场景:

你在Big Co.工作,你在大厅里的同事是Big Co的公共博客系统的网络开发团队,很多Big Co员工和一些公众使用.博客系统允许任何HTML和JavaScript,并且你被告知这是一个选择(不是偶然),但你不确定他们是否意识到这一点的含义.

所以你想让他们相信这是一个坏主意.您可以在自己的博客中编写一些演示代码并生成XSS脚本,然后编写一些博客文章.不久之后,主管博客管理员(在大厅下)访问您的博客帖子,XSS将他的cookie发送给您.您将它们复制到浏览器中,然后您将以他身份登录.

好的,现在你以他的身份登录了……你开始意识到继续“破解”博客系统可能不是一个好主意.但你是一个好人!登录后你不会触摸他的帐户,你绝对不打算宣传这个弱点;你可能只想告诉他们公众能够做到这一点,以便他们可以在恶意实现同样的事情之前解决它!

这里最好的行动方案是什么?

解决方法 真的取决于你在公司的位置,大厅里的人的性质等等….

提出一个选项:

走到他们身边,用抽象的术语描述威胁(“有人可能会劫持你的饼干,反过来……”),并询问他们是否愿意看演示?如果游戏中存在很大的自负,并且你真的希望他们解决这个问题,那就不要和整个团队交谈,而只是团队负责人.

如果他们同意,请等待几个小时,然后以“他”的身份登录,并在系统中做一些非破坏性的但是很明显的事情 – 你是在他们允许的情况下这样做的.他们可能会留下深刻印象,并确保洞得到修复.

如果他们不同意并告诉你离开,那么,你必须权衡你的选择:你要么把它拿得更高,要么埋葬它.通过提及问题,您将放弃匿名发送的所有选项.

如果你不能100%确定决策链中的每个人都是合理的并且完全理解你在做什么,并且这是为了公司的利益,我就不会做任何流氓“黑客攻击” – 总是说话关于它,尤其是在大公司环境中.这个东西太容易被误解为你的恶意 – 特别是如果有人会因为建立这个安全漏洞而感到尴尬,并且想把责任归咎于其他人.

总结

以上是内存溢出为你收集整理的如何最好地向您自己公司的Web开发团队提出安全漏洞?全部内容,希望文章能够帮你解决如何最好地向您自己公司的Web开发团队提出安全漏洞?所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/web/1133551.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-05-30
下一篇 2022-05-30

发表评论

登录后才能评论

评论列表(0条)

保存