Re: 新手剛入職就發現有SQL injection漏洞 該回報嗎

不好意思認真回一下

簽約前和簽約後做法不一樣，簽約後會有保密義務，雖然聽起來是公開程式碼但是
簽約後你不能把這個漏洞拿去 hitcon zeroday 換好寶寶章。

簽約前你可以拿去 hitcon zeroday，或者是回報給他們老闆，然後按碼錶，看多久會修
決定要不要待。

然後更好的做法是你可以打聽看看這個程式碼有哪些客戶使用，例如某公部門、某銀行、
某上市公司，之後直接打電話進該公司的資安主管部門和他們驗證，經驗上這樣會修的比
較快。

寫出漏洞不一定是問題，因為漏洞不一定會被發掘，有可能因為沒有人力Review或是價值
過低所以存放兩年都沒發現，CVE-2014-0160 Heartbeat 漏洞就是這類型的漏洞，你要說
OpenSSL 開發者不懂資安嗎? 嗯?

所以我的建議就是直接附上 POC 然後回報給他們老闆，我遇過的案例是老闆直接轉給客
服，由客服一步一步告訴我要怎麼做，最後我是我回報給他們客戶，附上POC，然後他們
也很有誠意的當晚漏夜把漏洞修掉。

那你從這個過程就會可以側面觀察出來你接下來是不是那個負責要漏夜把漏洞修掉的人。
以及這間公司對於漏洞回報的SOP到底是什麼，有沒有制度化，還是隕石雨的正在進行式?

原則上漏洞回報到公開，通常會有大概三個月左右的時間，即使是矽谷大手公司也是這樣
你道義上不能回報後24小時馬上就把漏洞細節公開，除非他和你說「這東西不是漏洞」
那你才可以直接公開。

為什麼會有這樣空窗期？因為照正常軟體開發流程，程式碼合併之前還是要做Review以及
測試，同時要確定同類型的漏洞(git blame)有同時修掉，所以如果他馬上就修掉發新版
本，很有可能代表他們沒有Review流程以及測試流程，接不接受見仁見智。

在空窗期營運團隊也不是什麼都不做首先是第一時間的修補以及查詢，常見的做法
是將有疑慮的功能先下架再說，這部部分通常是營運團隊要做的，但是也有可能規模
過小營運=開發=Devops，所以來不及反應。這部分你可以從幾點開始你沒辦法 Query
到資料庫來知道營運團隊目前反應速度如何。

再來是通知義務
個資法第十二條規定
公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應
查明後以適當方式通知當事人。

雖然我看目前上市的PC某和現在不知道球踢到哪裡的OO部好像還不曾通知過個資洩漏事件
所以這部分如果該公司有做，說明這個企業主對於社會責任是很重視的。
只是有沒有通知這件事情如果他只做2B，應該不好觀察。

另外還有一個有趣的東西可以觀察，該公司文化會不會懲處寫出Bug的工程師。
我有聽說過有些公司會，這種千萬不要待，一點意義都沒有。

--
此篇文章以 CC BY-SA 4.0 發表。

咖啡是一種豆漿，
茶是一種蔬菜湯。


--