1. 首页
  2. 网络安全

要想成为白帽黑客首先要知道程序脆弱性

什么是脆弱性?

脆弱性是指在软件错误中可以滥用非法行为的漏洞。例如,您可能看到在网站上注册的用户的机密信息,或者可能使服务器停止运行,并且可能会对运营者(运营组织或开发人员)和用户造成危害,这些错误就称为漏洞。

要想成为白帽黑客首先要知道程序脆弱性

有恶意的黑客每天都在寻找能够滥用网络攻击的脆弱性。如果他们知道了脆弱性的存在,就有可能遭到滥用网络攻击的危险。——此外,对于不知道如何正确处理漏洞的用户,他们可能会在博客和SNS上公开信息。在这种情况下,可能会破坏软件及其运营商的信任,甚至会带来负面影响。

漏洞严重程度

即使发现相同的漏洞,重要性也会因软件所处理的信息和环境而异。在此,以脆弱性的“影响度”和“攻击容易性”为例,来考虑重要度。

假设您在只能通过我们公司内部网络访问的疏忽管理网站和在互联网上公开的BugBounty.jp上发现了恶意网站篡改的漏洞。比较一下这个例子中的影响度和攻击容易性。

影响力次

工作疏忽管理网站,直接受损的只限于本公司的员工。但是,如果BugBounty.jp被篡改,则所有用户都可能直接受到损害。此外,还可能对企业经营产生影响,例如远离用户。

容易攻击性

恶意黑客攻击勤懒管理网站时,必须侵入本公司内部网络。但是,对于BugBounty.jp,他们可以通过互联网轻松地从任何地方进行攻击。

在这个例子中,由于在BugBounty.jp中发现的脆弱性的影响度和攻击容易性较高,所以可以判断为重要度也较高。作为白黑客报告脆弱性时,如果对这一点进行评论的话,运营者将更容易判断其重要性。

找到的漏洞应该怎么做?

直接向运营商报告脆弱也是一个办法。但是,没有从运营商那里得到答复而置之不理,或是提出问题和意想不到的委托等,在沟通上要花费很多时间。

为了避免这种情况IPA(独立行政法人信息处理推进机构)报告给IPA是由经济产业部管理的组织,接受脆弱性信息的申报。窗口因为之后IPA会顺利进行,所以不需要和运营者进行直接的对话。另外,最近引入错误奖金制度的企业越来越多了.如果发现对象软件的漏洞并进行报告的话,可能会得到报酬。

接到报告的运营者在被恶意黑客知道脆弱性存在之前可以采取对策。报告脆弱性有助于保护运营商和用户免受网络攻击。

能为社会和平做出贡献,也能得到报酬。好极了!

 

原创文章,作者:奈落,如若转载,请注明出处:https://www.zx116.com/?p=458

发表评论

电子邮件地址不会被公开。 必填项已用*标注