Имя: Пароль:
LIFE
 
 OFF: Как бы вы поступили с обнаруженной уязвимостью популярной системы
, ,
0 Управляемые Формы
 
18.03.12
20:59
1. Пользовался бы уязвимостью сам 40% (4)
2. Попытался бы получить премию от Microsoft 40% (4)
3. Написал бы в Microsoft об уязвимости 20% (2)
4. Всему свету сообщил бы, как взламывать сайты 0% (0)
5. Передал бы информацию органам 0% (0)
Всего мнений: 10

Добрый день.
Предположим, что вы случайно обнаружили уязвимость в ASP.NET, позволяющую получить полный доступ к SQL базе данных Application Services (http://msdn.microsoft.com/en-us/library/bb547119.aspx), в частности к таблицам aspnet_Users и aspnet_UsersInRoles, расположенную на любом сайте, построенном на этой технологии (любые сайты на Битрикс, например). Причем для получения этого доступа не требуются больших ресурсов или времени, это не брутфорс. В общем, при написании небольшой программы, вы можете получить доступ к любому сайту, достаточно ввести адрес этого сайта.
Что бы вы сделали?
1 mirosh
 
18.03.12
20:59
не, ну а что

Попытался бы получить премию от Microsoft
2 andrewks
 
18.03.12
21:00
так

Попытался бы получить премию от Microsoft
3 Управляемые Формы
 
18.03.12
21:00
Ну, наверное так.

Попытался бы получить премию от Microsoft
4 ErrorEd88
 
18.03.12
21:00
Шантаж, конечно.

Пользовался бы уязвимостью сам
5 IamAlexy
 
18.03.12
21:01
(0) у меня битрикс на mysql

откуда там asp.net
6 Конфигуратор1с
 
18.03.12
21:03
(0)выкладывайте свою программу - заценим
7 Управляемые Формы
 
18.03.12
21:04
(6) Что вы, откуда у меня? Это же раздел "философия". Даже скорее "психология"
8 andrewks
 
18.03.12
21:04
(7) так это чо, развод? тьху на тебя
9 IamAlexy
 
18.03.12
21:05
(8) +100500

народ побежал бекапить базы свои и срочно все на mysql переносить.. эх....
10 Конфигуратор1с
 
18.03.12
21:07
(7)ну это компетентные органы выяснят - откуда у вас ...
11 Управляемые Формы
 
18.03.12
22:18
(9) Уязвимость, скажем, не в SQL. Уязвимость в ASP. Так что, по-большому, и mysql под угрозой. Как вам такое развитие событий?
12 Александр_
Тверь
 
18.03.12
22:26
Написал бы в Microsoft, подождал бы ответа в течении двух недель. Если ответа нет, то далее собщил бы сообществу. Если ответ есть, то подоговоренности.

Написал бы в Microsoft об уязвимости
13 Steel_Wheel
 
18.03.12
22:52
Я бы написал в Микрософт. И скромно попросил бы их выслать мне чек на сумму, которую, по их мнению, не жалко за обнаружение подобной уязвимости

Написал бы в Microsoft об уязвимости
14 DGorgoN
 
18.03.12
22:53
Я еще на халяву не работал.

Попытался бы получить премию от Microsoft
15 Voronve
 
18.03.12
22:55
И МОЛЧАЛ !

Пользовался бы уязвимостью сам
16 DGorgoN
 
18.03.12
22:59
(15) Не всеми можно. Да и как правило их многие находят. Я тоже как то используя всякие патчи длл нашел ошибку которая позволяет обойти права и под гостем получить админа. Пофиксили очень быстро в каком то обновлении. Нашел сам.
17 Inform
 
18.03.12
23:14
Обычно человек, способный найти уязвимости такого рода, хорошо знает, что с этим делать.
Либо самому использовать, либо продать заинтересованным лицам.
Если отослать в майкрософт - не факт, что это дойдет до тех, кто закроет брешь, а не уйдет на сторону от того, кто занимается разбором почты. В итоге кто-то заработает, а ты не получишь даже письма с благодарностями, за бугром же тоже всем кушать хочется.

Пользовался бы уязвимостью сам
18 Aleksey
 
18.03.12
23:18
(17) Немного не так. Кто то заработают, а тебя посадят ибо ты знал об уязвимости, значит это ты ею воспользовался и взломал сайт
19 DGorgoN
 
18.03.12
23:27
(17) Я случайно узнал. 2-м похвалится успел тока =(
20 VasilyKushnir
 
18.03.12
23:32
А уле тут еще думать?!!!

Пользовался бы уязвимостью сам
21 Лефмихалыч
 
18.03.12
23:36
Я бы подумал, что мне показалось, пошел бы выспался и наутро с помощью серии контрольных экспериментов доказал бы, что таки-показалось
Основная теорема систематики: Новые системы плодят новые проблемы.