如何处理网站的XSS漏洞通报

关键要点

您所在公司的销售部门最近收到了一封来自未知个体的邮件，内容如下：

您 example.com/login.php 页面破坏。发送XSS。

如果不修复，我将在一个月内公开。

您究竟遇到了什么？您刚刚被一位道德黑客联系，他正在报告您网站上的漏洞。以下是您在处理此情况时应遵循的注意事项，以避免公共的无协调漏洞披露，并修复系统中的安全问题。

首先，要意识到您并未遭到黑客攻击。如果真是攻击者，您未必会这么礼貌地得到通知，并且潜在的影响会更大。实际上，您可能直到您的网页被用于攻击他人或您的客户因敏感信息泄露而提起诉讼时才知道这个问题。

联系您的那个人是独立的安全研究员，亦称为道德黑客。他们发现安全问题并在好意下报告，以此获得漏洞奖励。

尊重黑客。他们联系您是为了帮助，而不是伤害您。
保持耐心。他们可能在与公司沟通时不太擅长。
他们可能并非以英语为母语。如有可能，试着了解他们偏好的语言，并找人帮您翻译。
尊重他们的隐私。如果他们坚持使用昵称或匿名代理，切勿强迫他们透露个人信息。如果他们使用PGP加密和签署消息，使用他们的公钥加密您的回复。隐私对黑客而言很重要，因为并非所有企业都像您一样聪明，许多企业会对道德黑客采取法律行动，通常涉及执法机关。
记住，如果您不遵循建议的流程，而黑客最终公开了您的漏洞，责任将是您的，而不是黑客的。

为避免安全漏洞的无控制公开披露，确保保持与报告漏洞的黑客的沟通，及时更新修复进度。报告漏洞的原因在于其它用户可能处于危险中。例如，您网络应用中的XSS漏洞可能会用于更有效的钓鱼，攻击者可以利用您的域名增强社交工程的信任度。

正确分配责任。原邮件可能发送至非技术人员，如销售或市场部门。选择一名技术员工，最好是IT安全团队的成员，作为与黑客沟通的主要联系人。确保此人知道该采取的正确态度（见第一步）。
确保所有员工知道如何升级潜在的安全问题，并不会忽视此类报告。对面向公众的员工进行培训，让他们知道如何处理安全报告，向谁转发，并何时绕开正常查询的升级流程。
清晰且定期沟通。保持黑客对修复进度的更新。立即回复，确认收到报告并正在调查。提供具体的时间估算，例如，您打算在五个工作日内完成研究。
道德黑客遵循负责任的披露实践。他们通常会给您一个修复漏洞的具体时间框架，再公开披露（在我们的例子中是一个月）。如果他们没有指定时间框架，请询问他们的偏好，并在必要时协商时间框架。