Bounties dei bug - Shoud I report 0days in componenti di terze parti?

7

Supponendo che:

  1. Le vulnerabilità nei componenti di terze parti non sono esplicitamente escluse nell'ambito del programma.
  2. Il problema è riproducibile nell'obiettivo specifico.

Devo segnalare il problema solo allo sviluppatore di terze parti o al programma? Se il componente è utilizzato e sfruttabile nelle applicazioni X, dovrei richiedere una taglia per tutti loro?

EDIT: Sembra che i grandi programmi paghino regolarmente premi per le vulnerabilità nei componenti di terze parti. Esempio (Può essere NSFW)

    
posta Not Now 30.03.2018 - 04:02
fonte

1 risposta

6

È molto probabile che lo sviluppatore che implementa la parte vulnerabile del codice sia limitato a modificarlo mediante una licenza o dall'incapacità di farlo a causa della mancanza di conoscenze sufficienti per modificare il codice, nessun accesso ad esso o ad altre simili impedimenti. Detto questo, dovresti segnalare la vulnerabilità allo sviluppatore di terze parti che dovrebbe quindi adottare misure per mitigare il problema e inviare le modifiche a chiunque utilizzi il codice.

Si consiglia di segnalare il problema a tutti i programmi o applicazioni interessati, ma questo dipende da voi, dopotutto non ci sono regolamenti sulla divulgazione delle vulnerabilità e l'unica linea guida è il vostro ragionamento etico.

Per rispondere direttamente alla tua domanda, se lo sviluppatore del codice vulnerabile è responsabile della sua manutenzione (a seconda della licenza del software), molto probabilmente sarebbe l'unica parte che sarebbe disposta o idonea a pagarti una taglia. Tuttavia, è consigliabile divulgare la vulnerabilità a qualsiasi parte interessata e potrebbe anche essere disposto a ricompensarti in base alla gravità della vulnerabilità e alla sua capacità di mitigarlo.

    
risposta data 30.03.2018 - 08:41
fonte

Leggi altre domande sui tag