Le segnalazioni di vulnerabilità vengono spesso ignorate per mancanza di informazioni?

1

Recentemente ho trovato il seguente articolo .

Tl; dr : una reale vulnerabilità non è stata presa in considerazione, quindi il ricercatore della sicurezza ha sfruttato la vulnerabilità per attirare l'attenzione del team di sicurezza di Facebook.

Ciò che ha particolarmente attirato la mia attenzione è stato il fatto che il team ha deciso di non agire sul rapporto perché presumibilmente non avevano abbastanza informazioni per riprodurre il bug, e quindi ha semplicemente risposto "questo non è un bug".

Inoltre, questa è la prima volta che mi imbatto in questo caso nelle notizie, tuttavia non sembra un evento isolato. Cioè, ho la sensazione che questo avvenga molto più spesso.

  • In che modo le squadre decidono quando un rapporto non è "sufficientemente utilizzabile"? Accade spesso?

  • Ci sono altri casi famosi come quello sopra?

posta aedcv 25.01.2018 - 21:26
fonte

1 risposta

1

Un report per essere utilizzabile deve essere riproducibile - esempi di strumenti per i punti di ingresso dei payload utilizzati ecc. Una segnalazione di bug non significa nulla se il reporter utilizza uno strumento personalizzato e un payload del team di sicurezza e non fornisce passaggi dettagliati e carichi utili.

I team di sicurezza visualizzano le applicazioni in modo diverso rispetto a uno sviluppatore. Per me il problema di Facebook non è un enorme impatto rispetto a un bug di iniezione di cmd injection o sql. Forse non l'hanno triage correttamente e hanno esaminato il potenziale impatto - gli spammer che sfruttano questo bug per pubblicare la pagina di ogni utente che a sua volta poteva collegarsi a siti / siti web dannosi

    
risposta data 25.01.2018 - 23:54
fonte

Leggi altre domande sui tag