今日、オンライン セキュリティは非常に重要な要素です。多くのビジネスは完全にオンライン ベースであり、Web ブラウザーを使用することでのみ確認できる機密データが大量に存在します。
自分のアプリケーションを安全にするための知識を求めて、私は他のアプリケーションの脆弱性やセキュリティホールをテストすることがよくあることに気づきました。おそらく好奇心からでしょう。自分のアプリケーションをテストしたり、ゼロデイ脆弱性を読んだり、本を読んだりすることで、この分野に関する私の知識は広がりました。ウェブ アプリケーション ハッカー ハンドブック: セキュリティの欠陥を発見して悪用する、私は、オンライン Web アプリケーションの大部分が、多くのセキュリティ ホールにさらされていることに気付きました。
では、どうしますか? 何かを破壊したり台無しにしたりするつもりはありませんが、ハッキングに関する最大の「突破口」として、ページの管理者に警告することにしました。私の問い合わせはすぐに無視され、セキュリティホールはまだ修正されていません。なぜ修正しないのでしょうか? 悪意を持った誰かが侵入してすべてを破壊しようとするまで、どれくらいの時間がかかるのでしょうか?
最近、なぜこれにもっと注目が集まっていないのか不思議です。Web アプリケーションのセキュリティ上の欠陥をテストするサービスを実際に提供すれば、ビジネス チャンスはたくさんあると思います。好奇心が強すぎるのは私だけでしょうか、それとも同じような経験をした人は他にもいるのでしょうか。ノルウェーでは、Web ページに侵入しようとすると法律で罰せられます。ソース コードをチェックして「隠しパスワード」を見つけてログインに使用しただけでも、すでに法律違反になります。
ベストアンサー1
私はかつて、ログイン後にアカウントを切り替えることができるオンラインオーディオブックストアの深刻な認証脆弱性を報告したことがあります。私もこれを報告すべきかどうか慎重でした。ドイツではハッキングも法律で禁止されているからです。そのため、私は匿名で脆弱性を報告しました。
答えは、ソフトウェアは親会社によって保守されているため、彼ら自身でこの脆弱性を確認することはできなかったが、私の報告を喜んでいるというものでした。
その後、脆弱性の危険性を確認し、現在は修正済みであるという返信が届きました。また、このセキュリティ レポートに対して改めて感謝の意を表し、iPod とオーディオブックのクレジットをプレゼントしてくれました。
したがって、脆弱性を報告することが正しい方法であると確信しています。