it-swarm-es.com

Informar sitios vulnerables

Toma este escenario:

Navega por la web y encuentra un sitio web que es vulnerable a la inyección de SQL. Siendo un buen chico/chica, informa la vulnerabilidad al propietario del sitio (si puede encontrar los datos de contacto).

¿Qué haces si nadie responde o dice gracias, pero nunca logras solucionar el problema?

16
Alexandru Luchian

Comience leyendo las respuestas a estas preguntas:

Comience intentando nuevamente, posiblemente con una dirección de correo electrónico diferente (a menos que haya recibido una confirmación personal, no puede estar seguro de que alguien realmente lea su correo electrónico).

Si eso no funciona, diría que depende:

  • Si es un sitio grande y famoso con alta visibilidad, hay sitios para publicar esto. ( http://isc.sans.edu/diary.html?storyid=8701 enumera algunas, pero no estoy completamente cómodo con eso.)
  • Si es un sitio desconocido más pequeño, no hay razón para publicitar la vulnerabilidad, solo atraerá a atacantes que de otra manera ni siquiera los conocerían ni se molestarían con ellos.

Realmente no hay mucho más que hacer: ya has cumplido con tu deber cívico.

7
AviD

En realidad, este es un problema generalizado. Y no importa si este es un sitio web pequeño o grande, no recibe comentarios debido a muchas razones: no hay un correo electrónico de contacto válido, nadie está dispuesto a arreglarlo, alguien simplemente no siente que sea su deber.

Por lo general, debe haber muchos correos electrónicos para contactar con una persona que de alguna manera sea responsable de la administración del sitio web. Los pentesters intentan algo como admin @ ..., security @ ..., etc. Otra posibilidad de recibir correo electrónico es de DNS whois. Eso fue sobre el caso de cómo encontrar contacto.

Si obtuvo respuesta, pero nadie soluciona la vulnerabilidad durante algún tiempo, intente enviar un segundo correo. No envíe correo no deseado hasta la muerte, pero recuerde amablemente el problema.

Si nadie responde y no hay posibilidad de ponerse en contacto con los representantes del sitio web, bueno, todavía hay tres maneras de lo que puede hacer. Mala señal, pero ese es un problema del propietario del sitio web: ¿realmente les importa? Entonces, en este punto puedes:

  1. ir a la divulgación completa, por ejemplo, publicar en http://www.xssed.com/ ;
  2. dejar en paz la vulnerabilidad;
  3. parchearse, sí, entrar y corregir la vulnerabilidad.

Los puntos 1 y 3 son de alguna manera arriesgados, especialmente 3, pero si realmente te importa, las cosas pueden empeorar. Supongo, eso es.

5
anonymous

Puede consultar una pregunta muy idéntica en StackOverflow Hackear y explotar - ¿Cómo lidiar con los agujeros de seguridad que encuentre?

Hay algunas buenas respuestas allí que discuten lo ético, lo legal que debe hacer y más.

0
Chris Dale