Quali informazioni fornire quando si invia una segnalazione di vulnerabilità a un programma di taglie?

1

Dopo aver trovato una vulnerabilità in un programma, è possibile inviarla a un programma di taglie, come ZDI. Secondo il sito web di ZDI, esamineranno la vulnerabilità e possibilmente offriranno una taglia. Se il ricercatore non accetta l'offerta, promettono di non utilizzare le informazioni sulla vulnerabilità. Tuttavia, credo che alcune persone potrebbero non fidarsi completamente del programma di taglie e vorrebbe fornire informazioni limitate nella loro presentazione.

La mia domanda è, qual è la prassi generale per fornire informazioni a / negoziare con un programma di taglie? Sto pensando di fornire la versione del software, la versione del sistema operativo, la descrizione generale della vulnerabilità e alcune prove, come le informazioni a crash e analizzare i risultati con strumenti come! exploitable Crash Analyzer. Tuttavia, anche se il programma di taglie come ZDI incoraggia il ricercatore a presentare un PoC, il PoC rivelerà la vulnerabilità completamente. Pertanto, il PoC non sarà incluso almeno nella presentazione iniziale.

Fornisci le risposte e i commenti relativi a questo problema. Grazie!

    
posta ZillGate 22.12.2014 - 20:43
fonte

2 risposte

3

ZDI e altri programmi simili NON accettano nulla senza riportare sull'intera vulnerabilità. Non ci sono dati di sanificazione. O ti fidi di loro, o no. Il campione si applica a tutti i programmi elencati su BugCrowd . Con ZDI, questo è quello che ho trovato ha funzionato meglio per ridurre al minimo la quantità di tempo che avresti dovuto aspettare:

  1. Rapporto dettagliato completo del bug
  2. Prova del concetto
  3. Risoluzione dei problemi (guida passo passo per sfruttare il debug incluso)

Ciò che ZDI e altri fanno, è dare un'occhiata a ciò che stai presentando e passare attraverso il processo di convalida di questo. La prova del concetto non è necessaria, dal momento che il personale può creare i propri PoC ma riduce al minimo la quantità di tempo trascorso in attesa.

L'output della risoluzione dei problemi (ad es. WinDBG, OllyDBG, ImmunityDBG) li aiuta a vedere ciò che è interessato (EIP, EBX, ECX, ecc.) quando qualcosa viene esagerato, per esempio. Isola lo spazio degli indirizzi o illustra cosa hai fatto per qualcosa di simile a nopsledding, ecc.

Ora deduco che sei preoccupato che tu invierà qualcosa, che offriranno un minimo, dirai di dimenticarlo, e loro andranno avanti e lo segnaleranno / lo correggeranno / etc lo stesso. Questo non è il caso, quindi si firma un accordo di non divulgazione con loro. Quindi di nuovo:

  • Vulnerabilità - necessaria per determinare l'entità del danno potenziale se X si è verificato
  • PoC: non necessario ma aiuta a dimostrare lo sfruttamento contro un applicazione
  • Dati di debug / risoluzione dei problemi - aiutano a illustrare cosa, come e perché qualcosa è stato sfruttato

Non vi è alcuna sottomissione "parziale" dal momento che spenderanno DENARO (tempo, risorse) per capire quale sia il problema (se presente). Non azzardare teorie. La quantità di denaro che offrono è basata su quanto è diffusa l'applicazione (ad es., Gli exploit di Microsoft eseguono grandi cifre rispetto a MyRandomApplication.exe).

    
risposta data 22.12.2014 - 21:25
fonte
2

Generalmente con i programmi di taglie, più informazioni puoi fornire, più è probabile che paghino la taglia. Sfortunatamente, la qualità di molti degli exploit presentati può essere molto bassa - ad esempio, conosco un programma di taglie per un sito web che riceve frequentemente avvisi che javascript era visibile nel browser web dell'utente.

Quindi, il miglior consiglio presumendo che tu non abbia alcun motivo per mantenere segreta la vulnerabilità, inviare il PoC e quante più informazioni possibili per massimizzare la possibilità di pagamento.

EDIT Aggiungerò, se il tuo interesse è nel massimizzare il profitto, non necessariamente la divulgazione, potrebbe essere il modo migliore di rivolgersi direttamente alla società, ma in realtà questi programmi sono progettati per incoraggiare la divulgazione responsabile, non rendere ricco chiunque.

    
risposta data 22.12.2014 - 21:10
fonte

Leggi altre domande sui tag