Vorrei ricevere consigli su come e dove annunciare una vulnerabilità XSS (XSS persistente per essere precisi). La mia più grande paura è l'annuncio che ha nevicato, rendendo la divulgazione inefficace nel fare pressione sull'organizzazione per correggere la vulnerabilità. Dopodiché, la vulnerabilità si fermerebbe, aumentando le probabilità che un hacker "black hat" lo sfruttasse. Questo è l'opposto di quello che sto cercando di realizzare.
Sono piuttosto lontano nel processo di "divulgazione responsabile". Sto cercando di comportarmi molto eticamente qui.
Se si trattasse di una vulnerabilità in qualcosa di così grande come Facebook o Google o così, allora questo sarebbe facilmente individuabile dai blog sulla sicurezza, credo, forse anche dalla stampa di tecnologia generale. Questo sito è decisamente più "di secondo livello", il che rende meno succose le notizie. Inoltre, non ho voglia di prendere tempo per scrivere un exploit (ad esempio: un worm, magari catturando i cookie degli utenti lungo la strada), che presumo possa migliorare il valore delle notizie. Sono davvero sorpreso di quanto tempo mi sia già messo in questo, un po '"dimostrando" che mi interessa. (mai stato in una situazione simile prima)
Sono pienamente consapevole che questa domanda è "soggettiva" (viene persino rilevata automaticamente come tale), ma tenterò comunque la mia fortuna, perché potrei davvero usare un po 'di aiuto qui.
Nota, l'ho taggato con "mercati delle vulnerabilità" perché penso che questo sia in qualche modo correlato. Non sto cercando di venderlo però. Voglio solo vederlo risolto.
Grazie in anticipo. :)
Forse avrei dovuto rendere più chiaro che, così com'è ora, non ho molta fiducia nel desiderio dell'organizzazione di correggere questa vulnerabilità, senza pressioni esterne. Ecco perché sto esplorando le mie opzioni.