Come e dove posso annunciare meglio una vulnerabilità XSS in un sito web relativamente noto?

6

Vorrei ricevere consigli su come e dove annunciare una vulnerabilità XSS (XSS persistente per essere precisi). La mia più grande paura è l'annuncio che ha nevicato, rendendo la divulgazione inefficace nel fare pressione sull'organizzazione per correggere la vulnerabilità. Dopodiché, la vulnerabilità si fermerebbe, aumentando le probabilità che un hacker "black hat" lo sfruttasse. Questo è l'opposto di quello che sto cercando di realizzare.

Sono piuttosto lontano nel processo di "divulgazione responsabile". Sto cercando di comportarmi molto eticamente qui.

Se si trattasse di una vulnerabilità in qualcosa di così grande come Facebook o Google o così, allora questo sarebbe facilmente individuabile dai blog sulla sicurezza, credo, forse anche dalla stampa di tecnologia generale. Questo sito è decisamente più "di secondo livello", il che rende meno succose le notizie. Inoltre, non ho voglia di prendere tempo per scrivere un exploit (ad esempio: un worm, magari catturando i cookie degli utenti lungo la strada), che presumo possa migliorare il valore delle notizie. Sono davvero sorpreso di quanto tempo mi sia già messo in questo, un po '"dimostrando" che mi interessa. (mai stato in una situazione simile prima)

Sono pienamente consapevole che questa domanda è "soggettiva" (viene persino rilevata automaticamente come tale), ma tenterò comunque la mia fortuna, perché potrei davvero usare un po 'di aiuto qui.

Nota, l'ho taggato con "mercati delle vulnerabilità" perché penso che questo sia in qualche modo correlato. Non sto cercando di venderlo però. Voglio solo vederlo risolto.

Grazie in anticipo. :)

Forse avrei dovuto rendere più chiaro che, così com'è ora, non ho molta fiducia nel desiderio dell'organizzazione di correggere questa vulnerabilità, senza pressioni esterne. Ecco perché sto esplorando le mie opzioni.

    
posta Anonymous 18.02.2013 - 18:36
fonte

3 risposte

8

Puoi rendere una divulgazione responsabile con ZDI (Zero day Initiative), sono ben noti per il loro lavoro e hai una buona opportunità per guadagnare un po 'di denaro a seconda di come si possono tracciare gli exploit forti la vulnerabilità che hai trovato.

Molti esperti di sicurezza inviano CVE a ZDI, sono legali e garantiti nel caso in cui temessi che la società ti denunci.

In realtà fungono da mediatori tra te e la società e informano la società sulla vulnerabilità a tuo nome.

Link to ZDI

    
risposta data 18.02.2013 - 19:22
fonte
4

Anche se la domanda può essere vista come soggettiva (sono d'accordo con questo e sospetto che sarai contrassegnato) c'è una risposta molto obiettiva: "chiedi al proprietario del software come vorrebbe la divulgazione gestita". Se sono un'organizzazione stimabile avranno una procedura formale di divulgazione da seguire, quindi seguila. Nella maggior parte dei casi ciò comporta la presentazione di un rapporto CVE che, una volta approvato, verrà ritirato e pubblicato negli elenchi pertinenti (MITER, US Cert, ecc.).

    
risposta data 18.02.2013 - 18:51
fonte
1

Usa la pagina "about" dell'azienda o "contattaci" per raggiungere la persona giusta.

Prova anche a inviare un'email a [email protected], [email protected], [email protected] o [email protected]

Puoi anche controllare la pagina whois della società, oppure effettuare una ricerca ARIN e inviare un messaggio di posta elettronica con questo contatto

    
risposta data 19.02.2013 - 00:16
fonte

Leggi altre domande sui tag