Recentemente, ho trovato bug in un'applicazione web di e-commerce e lo riferirò.
Il bug che ho trovato può:
elimina e modifica l'elenco dei prodotti preferiti per tutti gli utenti
cancella tutte le notifiche per tutti gli utenti
Quale livello di gravità e priorità di questa vulnerabilità posso segnalare?
In realtà direi che suona solo moderatamente severo , perché il danno diretto che si può fare è piuttosto secondario. Un utente malintenzionato può violare un livello di riservatezza (divulgazione di informazioni), può arrecare disturbo alle persone, può ingannare potenzialmente le persone e può sicuramente danneggiare la reputazione dell'azienda, ma non può causare direttamente molti danni (ad esempio costringere le persone a comprare cose, accedere a informazioni utili per furto d'identità, subentrare in account utente o ottenere accesso non autorizzato al server).
Lo chiamerei piuttosto una priorità piuttosto elevata. I riferimenti diretti agli oggetti sono relativamente facili da scoprire e di solito anche facili da sfruttare (di solito è solo un intero che puoi scorrere) e l'exploit può essere facilmente ridimensionato per interessare un gran numero di persone (tendono ad essere molto automazione e non richiede alcuna interazione da parte di qualcun altro). La facilità di scoperta e lo sfruttamento di solito aumentano la priorità, anche quando la gravità è mediocre.
Sembra una priorità molto alta. Un utente malintenzionato potrebbe pubblicizzare il suo prodotto inserendolo nell'elenco dei preferiti di altri utenti, ad esempio.
Come menzionato da @xander, spetta all'azienda decidere se correggerlo o meno, ma ti consiglio di inviare una priorità elevata in modo che possano essere a conoscenza.
Leggi altre domande sui tag authentication access-control web-application vulnerability disclosure