Dove segnalare pubblicamente una vulnerabilità, dopo che lo sviluppatore l'ha ignorato? [duplicare]

Naviga le tue risposte
7

Se ho scoperto una vulnerabilità e l'ho divulgata allo sviluppatore del sito web / app, come dovrei divulgarla pubblicamente?

Ho dato allo sviluppatore tutto il tempo per risolvere il problema, come raccomandato da questo . So che ora dovrei rivelare pubblicamente, in modo da avvisare i potenziali utenti, ma come e dove dovrei farlo?

    
posta Academiphile 25.07.2016 - 15:31
fonte

4 risposte

8

Puoi provare a coinvolgere CERT. link

We are more likely to accept reports if they:

  • are technically accurate, sufficiently detailed, and reasonably complete
  • affect multiple vendors
  • impact safety or critical infrastructure
  • involve disagreement or dispute between reporters and vendors
  • involve hard-to-reach or unresponsive vendors
  • affect vendors or sectors that are new to software security and vulnerability disclosure
  • require reporter anonymity
    
risposta data 25.07.2016 - 19:32
fonte
4

La vulnerabilità può esistere a causa di negligenza, ignoranza o risorse limitate. I proprietari decidono quando e come risolvere il problema. La decisione è una loro responsabilità, non la tua.

  1. Fai un passo in più per rivelare la tua prova di vulnerabilità ai proprietari del sito.
    (verifica che stiano ricevendo le tue comunicazioni)

  2. Se non ottieni una risposta soddisfacente, passa queste informazioni al loro capo.
    (livello più alto in società o società madre)

Come altri hanno detto, sii cortese e professionale. Questo ti aiuterà a guadagnare credibilità. Dovresti iniziare con una semplice spiegazione umana (solo i fatti), e nella stessa email dovresti includere i dettagli tecnici. (quindi l'azienda può verificare i risultati prima di rispondere)

Se tutte le strade falliscono, Vi incoraggio a trasmettere le prove al servizio pubblico responsabile (un poster ha suggerito CERT), tuttavia non ho esperienza in questo.

Non dovresti rivelare pubblicamente la vulnerabilità.

  • Questo può portare ad un attacco di successo da parte di individui con scarsa intenzione.
  • In molte giurisdizioni, ci sono conseguenze legali che le aziende possono imporre alle persone nella tua posizione.
  • Tale pubblicazione può promuovere uno scarso equilibrio di responsabilità tra l'attaccante e il difensore.

Ammetto che potrebbero esserci casi in cui è giusto rivelare pubblicamente una vulnerabilità, ma suggerisco caldamente di rinviare tale trattamento responsabile, attento e imparziale a un servizio pubblico più esperto in tali materie.

    
risposta data 25.07.2016 - 20:17
fonte
0

La ultima cosa che dovresti fare è dire: Risolvilo, rispondi, o pubblicherò il bug in un dato periodo di tempo.

Cosa dovresti prendere in considerazione:

  • Assicurati che sia trascorso abbastanza tempo
  • Contattali nuovamente, assicurati che la tua posta includa un PoC che spiega i pericoli e come simulare, ecc. e realizza anche un piccolo video su come sfruttare il bug.
  • Spiega esplicitamente che non hai cattive intenzioni e lascia alcune informazioni personali dietro (indirizzo e-mail e nome).
  • Dare una scadenza, dire che sei costretto a pubblicare il bug pubblico in poche settimane dalla Policy di divulgazione responsabile. Menzione: il termine non è per dire "allora dovrebbe essere corretto", è per dire "a quel punto dovresti iniziare a ripararlo".
  • Parla dei bug bug / premi nella loro prossima risposta; non spingerli.
  • Prova a chiamare e / o social media che stanno utilizzando?
  • Sii amichevole, chiaro e professionale
risposta data 25.07.2016 - 17:55
fonte
-1

Se questo è interno alla tua azienda o in qualche modo collegato a te, documenta tutto e la corrispondenza. Passare responsabilmente verso l'alto e consegnare le informazioni ai superiori o all'organo di governo.

    
risposta data 25.07.2016 - 17:47
fonte

Leggi altre domande sui tag

Problemi con Browser Crypto Quali sono i rischi reali dell'apertura delle porte per i giochi multiplayer?