Domande con tag 'disclosure'

domande con tag
4
risposte

Le migliori pratiche per informare un sito web sono state compromesse?

Ho ricevuto un'email di spam che afferma di fatturarmi per un servizio in New Jersey, negli Stati Uniti con il quale non ho avuto alcun rapporto. L'e-mail include un collegamento a un file zip ospitato su un sito Web di un ristorante greco nei P...
posta 05.01.2014 - 01:59
2
risposte

Come segnalare una vulnerabilità di sicurezza che coinvolge più società non collegate?

Durante la partecipazione a un programma di bug bug, mi sono imbattuto in un problema che ha portato a una vulnerabilità di sicurezza quando sfruttato con altri problemi su prodotti non correlati. Tutti questi problemi non sono di per sé vuln...
posta 05.03.2018 - 23:45
3
risposte

Trovato una vulnerabilità di sicurezza sul sito relativo al gov

Quindi non sono sicuro su come gestire ciò che ho trovato. È un buco di sicurezza davvero semplice, ma apre molti dati personali se sfruttato. Ero su un sito di utilità pubblica (essendo vaga intenzionalmente) e stavo avendo un problema nel r...
posta 14.04.2015 - 04:20
1
risposta

Devo dare seguito alle vulnerabilità rivelate più di un anno fa ma che non sono state risolte?

Sfondo: Alcuni anni fa, ho chiesto a questa domanda sulla rivelazione di vulnerabilità piuttosto gravi riscontrate nella rete di computer della mia scuola superiore. Più di due anni dopo, il preside è stato messo a conoscenza (ascoltan...
posta 10.08.2017 - 21:47
4
risposte

Dove segnalare pubblicamente una vulnerabilità, dopo che lo sviluppatore l'ha ignorato? [duplicare]

Se ho scoperto una vulnerabilità e l'ho divulgata allo sviluppatore del sito web / app, come dovrei divulgarla pubblicamente? Ho dato allo sviluppatore tutto il tempo per risolvere il problema, come raccomandato da questo . So che ora dovr...
posta 25.07.2016 - 15:31
1
risposta

Esiste un processo documentato per il rilascio di informazioni ufficiali per vulnerabilità soggette a embargo nel sistema CVE?

Esiste un processo documentato per il rilascio di informazioni ufficiali per le vulnerabilità soggette a embargo nel sistema CVE (Common Vulnerabilities and Exposures)? Se esiste un tale processo, come affrontare situazioni come la recente vu...
posta 03.01.2018 - 19:23
3
risposte

modello di e-mail di notifica di attacco / abuso

Sto costruendo un modello da utilizzare quando invii notifiche di "abuso" a ISP, provider di hosting, ecc. per quando gli attacchi hanno origine dal loro netblock. Esistono esempi di modelli utilizzati per questo scopo che sono stati ben prog...
posta 10.10.2012 - 23:44
2
risposte

La mancanza di una voce DNS con caratteri jolly è una vulnerabilità di sicurezza?

Un amico di un amico ha ricevuto un'email da un ricercatore di sicurezza che sembra legittimo. Il ricercatore ha presentato diverse vulnerabilità, una delle quali si legge così Vulnerability # ... Title : Lack of wildcard DNS Entry!...
posta 28.11.2015 - 20:11
2
risposte

Etica ed economia nella ricerca sulla sicurezza

Come possiamo progettare un mercato per la divulgazione di informazioni laddove i singoli ricercatori in materia di sicurezza possano beneficiare economicamente in modo etico? Assumi un mercato in cui i partecipanti sono governi, ricercatori...
posta 17.11.2011 - 19:37
1
risposta

Come essere preso sul serio quando si fa una divulgazione responsabile?

La settimana scorsa, mentre leggevo un articolo su un sito web, l'URL che terminava in .php?id=1 ha semplicemente chiesto di essere testato per SQLi. Quando ho confermato che era vulnerabile, ho anche scoperto che non c'era alcun filtro per...
posta 17.05.2018 - 14:05