如何最好地向您自己公司的Web开发团队提出安全漏洞?

前端之家收集整理的这篇文章主要介绍了如何最好地向您自己公司的Web开发团队提出安全漏洞?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
想象一下以下场景:

你在Big Co.工作,你在大厅里的同事是Big Co的公共博客系统的网络开发团队,很多Big Co员工和一些公众使用.博客系统允许任何HTMLJavaScript,并且你被告知这是一个选择(不是偶然),但你不确定他们是否意识到这一点的含义.

所以你想让他们相信这是一个坏主意.您可以在自己的博客中编写一些演示代码生成XSS脚本,然后编写一些博客文章.不久之后,主管博客管理员(在大厅下)访问您的博客帖子,XSS将他的cookie发送给您.您将它们复制到浏览器中,然后您将以他身份登录.

好的,现在你以他的身份登录了……你开始意识到继续“破解”博客系统可能不是一个好主意.但你是一个好人!登录后你不会触摸他的帐户,你绝对不打算宣传这个弱点;你可能只想告诉他们公众能够做到这一点,以便他们可以在恶意实现同样的事情之前解决它!

这里最好的行动方案是什么?

解决方法

真的取决于你在公司的位置,大厅里的人的性质等等….

提出一个选项:

走到他们身边,用抽象的术语描述威胁(“有人可能会劫持你的饼干,反过来……”),并询问他们是否愿意看演示?如果游戏中存在很大的自负,并且你真的希望他们解决这个问题,那就不要和整个团队交谈,而只是团队负责人.

如果他们同意,请等待几个小时,然后以“他”的身份登录,并在系统中做一些非破坏性的但是很明显的事情 – 你是在他们允许的情况下这样做的.他们可能会留下深刻印象,并确保洞得到修复.

如果他们不同意并告诉你离开,那么,你必须权衡你的选择:你要么把它拿得更高,要么埋葬它.通过提及问题,您将放弃匿名发送的所有选项.

如果你不能100%确定决策链中的每个人都是合理的并且完全理解你在做什么,并且这是为了公司的利益,我就不会做任何流氓“黑客攻击” – 总是说话关于它,尤其是在大公司环境中.这个东西太容易被误解为你的恶意 – 特别是如果有人会因为建立这个安全漏洞而感到尴尬,并且想把责任归咎于其他人.

猜你在找的HTML相关文章