Привет.
Уже не первый раз сталкиваюсь с маразмом при публикации пакетов в AppExchenge и вот снова, в очередной раз.
Требование: при использовании в своем приложении сторонних сервисов (например paypal) необходимо предоставить отчет о сканировании данного сервиса на предмет уязвимостей. Ранее это был Burp Scanner, а теперь я вижу появился еще какой-то ZAP tool for Browse.
Как вообще решаются такие проблемы? Понятное дело что мы даже не имеем право проводить аудит безопасности чужих сервисов без их согласия. Но если даже вдруг мы это согласие получили и вдруг нашли что-то косвенно касающееся нашего функционала, разве мы можем заставить данные сторонние сервисы исправиться специально ради нас?
Т.е. получается во первых Salesforce толкает нас на преступление, во вторых засаживает в кабалу от стороннего сервиса (API которого мы используем), которому грубо пох... на наше приложение и наши проблемы.
Каким образом можно пройти данную проверку? Как можно объяснить SF что сервис "не наш" и на безопасность самого приложения это никак не влияет. Кто имел опыт расскажите.
Дима, в чем незаконность проверки стороннего API сканнером?
Проверь разок paypal, если что найдешь, дай знать пайпальщикам - я думаю они заинтересованы в закрывании дыр (может еще тебе и баблишка подкинут - это нормальная практика у больших контор)
Для минорных уязвимостей надо писать False Positive документ - в котором подробненько описать почему сканнер сработал ложно, и это не уязвимость.
Это не очень сложно.
Ты наверное не часто читаешь Habr.
Поинтересуйся статьями на тему поиска уязвимостей в сайтах, особенно комментарии.
Конечно своего опыта в этих делах у меня нет (не занимался поисками уязвимостей), но тому что пишут на этом ресурсе привык доверять. И там куча примеров, когда желание помочь сайту оборачивается общением с правоохранительными органами и попытками доказать что ты ничего плохого не хотел сделать. Правоохранительных органам только дай повод, они на тебя всех собак повесят (очень показательный недавний пример - ОПГ+распространение порнографии за то что 10 лет назад на своем сайте размещал баннеры pay-per-click).
Так что я думаю лучше с этим не шутить, особенно с иностранными сервисами.
Может ничего в этим страшного нет и многие популярные сервисы поощряют испытание их на прочность в виде программ Bug bounty, но я бы не стал испытывать судьбу без официального разрешение на проведение исследования безопасности если такой программы нет.
А так конечно, что здесь плохого в том что ты направо и налево будешь трясти чужие сервисы тоннами некоректных запросов (не забудь только про анонимный прокси 
)
А кто говорит что это сложно?
Сложно не спалиться 
Вот с ходу гугл выдал для РБ (не самой айтишной страны).
http://www.bsuir.by/m/12_100229_1_58746.doc
Особенно понравилась статья
----
Статья 355. Нарушение правил эксплуатации компьютерной системы или сети
1. Умышленное нарушение правил эксплуатации компьютерной системы или сети лицом, имеющим доступ к этой системе или сети, повлекшее по неосторожности уничтожение, блокирование, модификацию компьютерной информации, нарушение работы компьютерного оборудования либо причинение иного существенного вреда, – наказывается штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или исправительными работами на срок до двух лет, или ограничением свободы на тот же срок.
----
То что выделено жирным ничего не напоминает? А последствия можно с легкостью и придумать. Прямо подарок какой-то для юристов.
Дима, объясни, почему бомбардировка ПУБЛИЧНОГО сервиса в США (paypal например) должна наказываться? При чем тут беларуское законодательство?
Или ты на appexchange выкатываешь интеграцию с СНГовским сервисом? Думаю если не уверен можно запросить формального разрешения у владельца ресурса.
Начну с конца
Забудь пока про Salesforce вообще.
Я сейчас про отношения лично тебя(отвественного за сканирование лица) и сервиса (который ты собираешься трясти).
Потому что есть уголовная ответственность как в стране где находится сервис, так и в стране откуда ты осуществаляешь свою деятельность. Беларусь я привел в качестве примера (что проще нагуглить) - не думаю что в США законы мягче.
"бомбардирование" публичного сервиса это яркий пример того что ты "Умышленно нарушаешь правил эксплуатации компьютерной системы". Я думаю что ты найдешь такую же статью в законодательстве США (где хостится paypal если не ошибаюсь) а может и не одну.
Грань между пентестом и хакингом очень тонкая и твои действия можно расценить с любой стороны. Если у сервсиса свои взгляды на это и есть желание и возможности, то им не составит труда слить твои действия органам с пометкой "злой хакинг" еще и ущерб какой повесить. И если тебе на себя пофиг, то подумай о компании, которую подставляешь (дело может принять абсолютно любой исход).
Все-таки любой сервис чья-то собственность. И они всего лишь предоставляют тебе услуги. Это не значит что ты можешь делать что угодно, тем более если твои действия могут нанести ущерб сервису. Ты же не знаешь, может твой сканер удалит нафиг всю их базу и еще спалит все железо.
Ты же когда приходишь в банк - не пытаешься залезть в хранилище без разрешения, или ездишь на автобусе не пытаешься заглянуть в моторный отсек.
На каком основании ты имеешь право проверять сервис на прочность? Правильно на основании официального разрешения или чувстве своей безнаказанности.
