Come essere preso sul serio quando si fa una divulgazione responsabile?

Question

Come essere preso sul serio quando si fa una divulgazione responsabile?

#1 da (3 voti)

7

La settimana scorsa, mentre leggevo un articolo su un sito web, l'URL che terminava in .php?id=1 ha semplicemente chiesto di essere testato per SQLi. Quando ho confermato che era vulnerabile, ho anche scoperto che non c'era alcun filtro per l'input dell'utente e che era possibile un semplice "<script>alert(1)</script> .

Quando cerchi un'email di contatto per segnalare la vulnerabilità, ho trovato solo indirizzi per reparti specifici, come [email protected].

Poiché non volevo semplicemente inviare il rapporto di vulnerabilità in modo casuale, ho chiamato l'azienda, spiegando che ho trovato un problema nel loro sito Web e che sarebbe stata una buona idea correggerlo. Ho spiegato che mi piacerebbe entrare in contatto con qualcuno dell'IT o qualcuno che abbia qualche relazione con le persone che gestiscono il sito web.

La persona al telefono è diventata piuttosto aggressiva, mi ha detto di fare una passeggiata (usato un linguaggio un po 'meno amichevole) e mi ha detto che non avevo niente a che fare con il loro dipartimento IT del sito web.

Come posso convincere le persone dell'importanza di una vulnerabilità e della divulgazione quando non hanno familiarità con l'IT? Soprattutto quando nessun contatto e-mail è possibile?

Per tua informazione, credo di essere stato molto gentile e calmo al telefono.

vulnerability disclosure

posta toom 17.05.2018 - 14:05

fonte

1 risposta

Leggi altre domande sui tag vulnerability disclosure

PKCS # 5 Privacy del sale? [duplicare] Distribuzione di una rete WiFi del campus che si autentica contro un LDAP AD

score 3 · Accepted Answer

La regola fondamentale è che, se un sito web non ha una politica di divulgazione responsabile, qualsiasi team di sicurezza che si occupa delle proprie risorse pubbliche è un'indicazione che non si preoccupano della sicurezza delle proprie risorse né considereranno alcun rapporto da una casuale persona ancora . Se trovassi alcuni problemi importanti nel sito web di alcune grandi aziende, lo segnalerei attraverso il giusto canale di comunicazione e ricorderò loro un paio di volte e dovrebbe essere così.

The person on the phone got quite aggressive, told me to take a hike (used a bit less friendly language) and told me I had nothing to do with their IT department of website.

Non sei nessuno e ha ragione. Immagino che non sia a conoscenza di cose come bug bounty, ricercatore indipendente di sicurezza. Quindi difficilmente è in grado di onorare tutto ciò che esce da te. Ci sono stati numerosi casi in cui i proprietari del sito web si sono incazzati e hanno creato problemi per i ricercatori. La cosa saggia da fare qui è lasciar andare e cercare altrove dove i tuoi sforzi sono apprezzati. Non hanno alcuna politica o procedura scritta che possa difenderti se ti chiedessero perché hai generato un traffico dannoso sul nostro sito web.

How can I convince people about the importance of a vulnerability and the disclosure when they are not familiar with IT? Especially when no email contact is possible?

Il convincente in questo caso deve essere fatto alla rispettiva persona e qui non hai contatti. Non si può andare casualmente a spiegare i bit di debolezza del proprio sito Web al tipo che preleva il telefono o invia il rapporto tramite il canale dei social media come Facebook. Questo non sarebbe la divulgazione responsabile.

La cosa giusta da fare è chiedere le informazioni di contatto del proprio team di sicurezza sull'e-mail di contatto ufficiale senza spiegare il problema. Se ottieni una risposta ufficiale, agisci di conseguenza altrimenti non ti interessa e quindi non dovresti. Puoi inviare due o tre promemoria settimanali educati e il gioco è fatto.