Scoperto il grande buco di sicurezza nel sito di qualcun'altro ... Cosa fare? [duplicare]

Glielo direi. Se si arrabbia con te informandolo piuttosto che abusare della tua nuova conoscenza, vuoi davvero lavorare per lui? Lo devi anche agli utenti del sito ...

È importante prendere sul serio Security Vulnerability Disclosure . La divulgazione inappropriata in alcune giurisdizioni può essere considerata un crimine, ed è certamente non interessante. Una buona divulgazione implica una notifica privata al venditore e un periodo di prova in cui devono fornire una correzione e una completa informativa (se i clienti hanno subito un impatto). Dopo questo periodo di tolleranza, puoi quindi rivelare.

Wiki dice:

A responsible disclosure first alerts the affected vendors confidentially before alerting CERT two weeks later, which grants the vendors another 45 day grace period before publishing a security advisory.[27]

A full disclosure is done when all the details of vulnerability is publicized, perhaps with the intent to put pressure on the software or procedure authors to find a fix urgently.

Detto questo, devi dirglielo e rapidamente . La prossima persona a scoprire l'exploit (e questa è banale , quindi succederà rapidamente) potrebbe non essere così responsabile.

Per quanto riguarda i problemi di fiducia, spiegagli esattamente ciò che ci hai spiegato. Digli che non hai rivelato la vulnerabilità a nessuno al di fuori di lui. Se fossi in lui (e mi trovassi in una situazione in cui io desidererei che l'aggressore avesse rivelato correttamente), ciò mi avrebbe fatto fidare di te più . In effetti, ti pagherei per le informazioni e per la tua divulgazione responsabile.

Sì. Mi capita di imbattersi in buchi di sicurezza durante la navigazione di potenziali lavori client in occasione pure.

Penso che sia assolutamente necessario renderlo consapevole, ma non ne parlerei nel contesto della valutazione della qualità del suo lavoro.

Nessuna domanda glielo direi.

Potrei inquadrarlo mentre ti stavi solo facendo una ricerca su ciò che è già lì, preparandoti a saltare nel progetto il più velocemente possibile (magari menzionando alcune cose che pensi siano state fatte bene , se non altro, per accarezzare il suo ego).

Quindi rilascia la bomba, ma immediatamente seguila spiegando che sei a conoscenza di questi problemi perché sono abbastanza comuni e la prima cosa che vorresti fare è avere l'opportunità per eliminare il suo sistema da questi rischi critici per la sicurezza.

Chiedi a uno dei tuoi amici di segnalarlo a lui. In questo modo, gli utenti sono protetti e i problemi di fiducia e altri problemi non influiscono sul tuo potenziale impiego.

È sempre possibile inviare una descrizione della vulnerabilità in un'email anonima. Ciò consente loro di risolverlo senza conseguenze su di te.