Dopo aver trovato una vulnerabilità in un programma, è possibile inviarla a un programma di taglie, come ZDI. Secondo il sito web di ZDI, esamineranno la vulnerabilità e possibilmente offriranno una taglia. Se il ricercatore non accetta l'offerta, promettono di non utilizzare le informazioni sulla vulnerabilità. Tuttavia, credo che alcune persone potrebbero non fidarsi completamente del programma di taglie e vorrebbe fornire informazioni limitate nella loro presentazione.
La mia domanda è, qual è la prassi generale per fornire informazioni a / negoziare con un programma di taglie? Sto pensando di fornire la versione del software, la versione del sistema operativo, la descrizione generale della vulnerabilità e alcune prove, come le informazioni a crash e analizzare i risultati con strumenti come! exploitable Crash Analyzer. Tuttavia, anche se il programma di taglie come ZDI incoraggia il ricercatore a presentare un PoC, il PoC rivelerà la vulnerabilità completamente. Pertanto, il PoC non sarà incluso almeno nella presentazione iniziale.
Fornisci le risposte e i commenti relativi a questo problema. Grazie!