Trovato un problema di sicurezza ma nessuna risposta

Naviga le tue risposte
3

Ho trovato un problema di sicurezza su un sito personale politico circa due settimane fa. Il sito è ancora molto attivo e ha un sacco di visitatori ogni giorno. La violazione è molto stupida e probabilmente non sono la prima persona a trovarlo ma manca un .htaccess nella parte admin del sito, così posso accedere come amministratore digitando www.thesite.com/admin e posso accedere a tutti i dati personali dati dai membri, posso pubblicare un articolo, sopprimere tutto ecc. Poiché si tratta di un problema importante, ho cercato di contattare qualcuno sul sito ma non c'era nessun contatto webmaster, solo l'indirizzo personale del politico e l'indirizzo della sua segretaria. Ho inviato circa tre messaggi ma non hanno risposto.

Domanda: Dovrei semplicemente dimenticarmene perché è il loro problema, non il mio? O trovare un altro modo per contattarli? Potrebbe quello che ho fatto essere considerato illegale visto che sono stato in grado di vedere tutte le informazioni personali sui loro membri?

EDIT: la mia domanda è stata identificata come possibile duplicato di un'altra domanda ma nel mio caso so più o meno cosa dovrei fare (ho già inviato messaggi), mi stavo chiedendo se dovrei lasciarlo andare o meno.

    
posta Shashimee 30.06.2016 - 14:46
fonte

1 risposta

2

Dovresti sforzarti di rivelare la vulnerabilità in modo responsabile ed etico.

cerca l'email di contatto dell'individuo proprietario del sito e di chiunque lo amministri. Cercare whois, questo può avere le informazioni di contatto per la persona che ha registrato il dominio o una pagina di contatto sul sito, non è consigliabile utilizzare alcuna informazione che è stato esposto dal bug per contattare la persona, in quanto potresti trovarti in area grigia.

Dettagli la vulnerabilità, come l'hai scoperta e tutti i metodi che possono essere utilizzati per replicarla (il che sembra facile in questo caso). Vorrei anche informarli di qualsiasi correzione, se ne conoscete uno.

Inoltre puoi spiegare quali rischi devono affrontare lasciando la vulnerabilità deselezionata.

Se hai fatto tutto il possibile per rivelarlo in modo etico e non fanno nulla al riguardo, hai due opzioni; Informali che darai piena divulgazione al pubblico dopo una buona quantità di tempo, o deciderà che siccome si tratta di un sito personale, non lo divulgherai al pubblico e andrai avanti con la tua vita.

Personalmente come i dettagli personali della gente sono esposti e la persona che possiede il sito è un funzionario pubblico, darei loro un avvertimento equo e poi pubblicarlo.

    
risposta data 30.06.2016 - 15:02
fonte

Leggi altre domande sui tag

riguarda l'inclusione del modulo della carta di credito in iframe utilizzando l'url generato dinamicamente Un ticket Kerberos è valido solo con trust esterno unidirezionale tra domini?