Di recente stavo navigando in un sito che sembrava fosse stato progettato nel 2000. Tuttavia, questo sito ha un buon rank di Alexa e una community online piuttosto attiva. Per la protezione del sito, non fornirò dettagli specifici sul sito.
Ho trovato un semplice XSS riflesso su una pagina quando ho seguito un collegamento interrotto e ho visto che un parametro URL si rifletteva nell'HTML. Ho scavato un po 'di più e ho trovato un altro riflesso e amp; fori XSS memorizzati. Ho cercato le informazioni di contatto sul sito e ho trovato l'email dell'amministratore e una pagina sulla sicurezza del sito.
In questa pagina, il proprietario si è vantato della sicurezza del sito, rendendo alcune richieste irrilevanti per XSS. Il proprietario ha anche detto che se anche tentassi di hackerare il sito, il proprietario dirà all'FBI e non voglio mettermi nei guai legali per aver presentato un buco di sicurezza. Il proprietario afferma inoltre che il sito è privo di valore per chiunque si intrometta perché non vengono memorizzati dati importanti. Tuttavia, il sito ha un accesso con nomi utente e password e XKCD # 792 ci dice che rubare le password è un grosso problema.
La pagina di sicurezza afferma inoltre che il testo è ben disinfettato e il testo non sicuro viene rimosso. Tuttavia, l'unica regolazione che dovevo fare per ottenere riflessi e amp; XSS memorizzato doveva rendere i tag HTML in maiuscolo (i tag in caratteri minuscoli venivano eliminati, possibilmente in un modo non sicuro).
Non sono sicuro di come segnalare un buco di sicurezza a questo sito Web senza essere arrestato. Cosa dovrei fare?