Il modo migliore per avvisare un proprietario di un sito Web di una vulnerabilità?

Question

Il modo migliore per avvisare un proprietario di un sito Web di una vulnerabilità?

#1 da (11 voti)
#2 da (1 voti)
#3 da (-1 voti)

6

di recente stavo navigando in un sito e ho notato che alla fine dell'URL diceva id = 168, che è un indicatore comune che il sito è vulnerabile a un attacco di SQL injection. ho fatto alcuni test e ho scoperto che avevo ragione, che il sito era vulnerabile e che qualsiasi hacker che volesse avrebbe potuto arrecare un danno grave. Ho inviato loro un'email dal loro link "contattaci", informandoli del problema e chiedendo loro di rispondere indicando che hanno ricevuto il messaggio. sono passate 3 settimane e non ho ricevuto risposta. qual è il modo migliore per assicurarti che queste persone sappiano di questo buco nel loro sito?

sql-injection

posta Jon Valentine 06.02.2012 - 21:47

fonte

3 risposte

Leggi altre domande sui tag sql-injection

Best practice per crittografare i dati in un'applicazione Android Forza crittografia Excel 2007

score 11 · Answer 1

In primo luogo, lo farei semi-anonimo se possibile. Le leggi contro l'hacking sono spesso ampie e le tue azioni potrebbero essere interpretate come "hacking" da un team legale paranoico / tipi di business che sono più infastiditi dal dover spendere di più nello sviluppo di siti Web piuttosto che avere qualcosa di sicuro.

In secondo luogo, non vorrei esplorare l'entità della vulnerabilità a causa di problemi legali. Ad esempio, posso ottenere gli hash delle password? Posso ottenere dati utente, ecc.?

In terzo luogo, non divulgare la vulnerabilità o minacciare di farlo a chiunque non sia nella propria azienda; potrebbero volerci settimane / mesi per consentire a un designer di correggere sensibilmente il codice esistente. (Ad esempio, lo sviluppatore solitario è in vacanza / incompetente / ecc.)

In quarto luogo, proverei a verificare se esistono indirizzi email di amministratore / sviluppatore e contattarli direttamente. La pagina contact-us potrebbe essere indirizzata a un reparto marketing che non capisce cosa sia l'iniezione SQL e ignorato quella email. Le pagine html hanno un autore / società elencato nel codice sorgente con un contatto email? Oppure puoi eseguire una whois sul dominio e trovare un contatto tecnico?

whois stackexchange.com
...
TECHNICAL CONTACT INFO
Stack Exchange, Inc.
Sysadmin Team
1 Exchange Plaza
Floor 26
New York
NY
10006
US
Phone:         +1.2122328280 
Email Address: [email protected]

Potresti provare anche alcune delle email standard per un dominio (ad esempio [email protected] )

Infine, se non funziona, invia un altro messaggio tramite "contattaci" che rimanda a articoli che illustrano cos'è l'iniezione SQL, quali pericoli è probabile che presenti alla loro organizzazione, perché hai notato che il loro sito era probabilmente vulnerabile ad esso (lo stesso motivo per cui i tipi nefasti noteranno) e cosa devono fare per proteggere il loro sito da questo specifico attacco.

score 1 · Answer 2

Ho inviato email come quella che hai fatto e raramente ho ricevuto una risposta. Pensaci dal loro punto di vista: alcuni a caso hanno detto loro che stavano hackerando il loro sito ... Come rispondi a loro? Se ricevessi un'e-mail del genere, risolverei rapidamente il problema e non risponderei. Non vorrei ulteriormente intensificare la "relazione" nel caso in cui la persona che mi contatta non volesse solo informare.

C'è anche solo così tanto che puoi essere responsabile. Informi come meglio puoi, poi lascia stare a loro. È il loro sito, il loro rischio, i loro costi da porre rimedio.

C'è anche una preoccupazione legale che potrebbe essere necessario affrontare. Annunciando che hai utilizzato il sito in un modo che il proprietario non intendeva, potresti essere soggetto alle leggi sull'hacking e potresti essere ritenuto responsabile di eventuali danni che il proprietario ha riscontrato anche se non lo hai causato. Conoscere le leggi della propria giurisdizione e quella del sito di destinazione.

score -1 · Answer 3

Non tutte le scoperte provengono dal frugare nei siti live. I CMS possono essere scaricati ed esplorati, lo stesso con addon / plugin per i vari CMS.

C'è spesso un'arroganza tra i manutentori del web quando si tratta della sicurezza o della percezione della sicurezza che possono contenere, ma ho trovato la maggior parte degli autori piacevoli e grati per aver fatto notare cose a loro.

Il modo più cortese è di dare loro un avvertimento per poi andare avanti. Se fanno qualcosa, fanno qualcosa a riguardo. Di recente ho ricevuto risposte cortesi da persone che ho contattato, solo una volta l'anno scorso ho avuto una reazione negativa all'aumento di un problema e due volte non ho ricevuto risposta quando ho segnalato un errore nei plugin CMS.

Generalmente, tuttavia, l'approccio senza fronzoli accettato è: - notifica al proprietario / autore / sviluppatore del problema (non solo un utente del sistema applicativo) - se rispondi entro una settimana ed è cortese, dai loro il tempo di correggere e rilasciare un aggiornamento se è quel tipo di sistema (CMS, plug-in, ecc.), quindi rilascia il bug tramite uno dei siti di exploit db online se non hanno " già fatto da soli - tuttavia se nessuna risposta (anche se una risposta automatica lo fa per me) dopo un paio di notifiche ripetute e un paio di settimane di attesa, o peggio ancora, si riceve un rimprovero dal proprietario del sistema interessato, quindi si passa a un bugtraq o exploit sito di database.

Se ignoravano intenzionalmente la tua notifica, il 0day non è il metodo di notifica più popolare, ma in genere riceve il messaggio in un modo o nell'altro.