Segnalazione della vulnerabilità di SQL injection alla società a cui non interessa

Question

Segnalazione della vulnerabilità di SQL injection alla società a cui non interessa

#1 da (3 voti)
#2 da (0 voti)

2

Ho appena finito di costruire un CMS destinato a un determinato settore e ho costruito un sito di test per vedere come funziona tutto. Ho scritto un programma per verificare le vulnerabilità di SQL injection e il programma ha seguito un collegamento blog a un sito Web esterno.

Il programma ha scoperto che il sito esterno aveva un'enorme vulnerabilità che lo lasciava praticamente aperto a chiunque potesse accedere a ogni bit di dati sul proprio server MySQL ed eseguire query ecc. Il fatto è che questo sito esterno è il leader del marchio nella loro industria e fare milioni su milioni di vendite all'anno. Ho provato a contattarli per farglielo sapere e sono persino andato a contattare la società che ha costruito la loro piattaforma, ma sono stato praticamente spazzato via e non ho ricevuto risposta da loro. Il loro database conterrebbe i dettagli di centinaia di migliaia di clienti e tutti i loro dati. Potrei facilmente farmi diventare amministratore del sito in pochi secondi ma non mi ascolteranno nonostante mi abbia offerto di condividere la vulnerabilità con loro e di aiutarmi comunque.

C'è qualcos'altro che posso fare perché è uno dei maggiori rischi per la sicurezza che abbia mai incontrato personalmente. C'è qualche altro passo che dovrei fare per segnalare questo?

sql-injection vulnerability disclosure

posta Ciaran87Bel 23.08.2014 - 15:49

fonte

2 risposte

Leggi altre domande sui tag sql-injection vulnerability disclosure

Quali vettori di attacco ci sono per un servitore saltstack indipendente? Possibilità di utilizzare CA come punto di attacco da parte di organizzazioni governative sotto la loro pressione

score 3 · Answer 1

Scopri come Secunia si occupa di esso. Potrebbe aiutarti lungo:

link

Se non è noto alcun contatto di sicurezza per il fornitore, è possibile che prima venga inviata una e-mail che richiede l'indirizzo e-mail di contatto di sicurezza a determinati indirizzi e-mail pubblici associati al fornitore. È politica Secunia non inviare mai informazioni sulla vulnerabilità tramite moduli online. Tuttavia, questi possono essere utilizzati per richiedere informazioni di contatto sulla sicurezza.

Quando un contatto di sicurezza o un altro indirizzo e-mail rilevante è stato identificato, un fornitore riceve inizialmente una posta con dettagli sulla vulnerabilità e una data di divulgazione preimpostata (di solito impostata su un mercoledì due settimane dopo).

Se il venditore non risponde alla posta iniziale entro una settimana, viene reinviato.

Se non è stata ricevuta alcuna risposta al giorno della data di divulgazione preimpostata, le informazioni sulla vulnerabilità vengono pubblicate immediatamente senza ulteriori tentativi di coordinamento.

Se il venditore risponde alla posta iniziale o alla posta inviata, può essere impostata una nuova data di divulgazione nel caso in cui il venditore non possa rispettare la data preimpostata.

Secunia si aspetta che i fornitori forniscano aggiornamenti di stato continui sui progressi. Se nessuno è fornito per impostazione predefinita, il fornitore verrà contattato circa una volta al mese con una richiesta di aggiornamento dello stato.

Se un venditore non risponde a una richiesta di aggiornamento dello stato, viene inviato nuovamente una settimana più tardi.

Se il venditore non risponde a due richieste di aggiornamento di stato consecutive, viene inviata una mail al venditore che avverte che le informazioni sulla vulnerabilità verranno divulgate una settimana più tardi se non viene ricevuta alcuna risposta. A questa data non è stata ricevuta alcuna risposta, le informazioni sulla vulnerabilità vengono immediatamente pubblicate senza ulteriori tentativi di coordinamento.

Alla fine, le informazioni sulla vulnerabilità saranno pubblicate da Secunia Research quando:

a) La data di divulgazione preimpostata / concordata è stata raggiunta.

b) Il fornitore emette un avviso di correzione e / o sicurezza.

c) Le informazioni sulla stessa vulnerabilità sono pubblicate da terzi.

d) Trascorso un anno o mezzo dalla data di contatto iniziale (per ulteriori informazioni, vedere 10 e 11).

Per impostazione predefinita, le vulnerabilità sono coordinate per non più di 6 mesi. Circa un mese prima del marchio di ½ anno, il venditore viene informato su una data di divulgazione fissa stabilita da Secunia Research al ½ anno. A quel tempo, viene pubblicato un advisory Secunia indipendentemente dalla disponibilità delle patch.

In alcuni casi, una vulnerabilità può essere coordinata per un anno intero se il venditore sta comunicando una chiara intenzione di affrontare la vulnerabilità e può impegnarsi in una data entro tale periodo e la vulnerabilità è considerata complessa da affrontare.

score 0 · Answer 2

in genere la maggior parte delle aziende risponde con il proprio indirizzo email di contatto. oppure puoi contattare il webmaster controllando la barra dei piedi che ha sviluppato il sito. se cerchi una taglia o invii loro una e-mail con la prova e dicendo che se possono pagare un certo su di te puoi anche proteggere la loro applicazione web. 1.checked meteo hanno pagina facebook / o dipendente nel social network (certo che ce l'hanno).
2.elasciate la vostra ultima opzione sarebbe il contatto attraverso la hotline.

dopotutto tocca a loro agire. se non hanno risolto il bug, sicuramente un tizio casuale sfrutterà il sistema con un dork google casuale presto