Domande con tag 'disclosure'

domande con tag
5
risposte

Effetto del codice sorgente Perdita di una suite di sicurezza in sicurezza

Sono interessato a sapere quali minacce rappresenta, se il codice sorgente di una suite di sicurezza è trapelato. Mi è venuto in mente dopo aver letto i seguenti URL: link link Quale sarebbe la minaccia se il codice sorgente fosse a...
posta 04.05.2011 - 14:08
3
risposte

Come e dove posso annunciare meglio una vulnerabilità XSS in un sito web relativamente noto?

Vorrei ricevere consigli su come e dove annunciare una vulnerabilità XSS (XSS persistente per essere precisi). La mia più grande paura è l'annuncio che ha nevicato, rendendo la divulgazione inefficace nel fare pressione sull'organizzazione per c...
posta 18.02.2013 - 18:36
3
risposte

Divulgazione in potenziali situazioni di perdita della vita, con un venditore non collaborativo

Recentemente ho scoperto un'interfaccia web accessibile pubblicamente a un componente altamente sensibile di apparecchiature di laboratorio, il cui malfunzionamento potrebbe comportare una potenziale perdita di vite umane o gravi problemi di sal...
posta 12.12.2012 - 22:42
1
risposta

Pubblicare un exploit dopo il contatto del fornitore e l'applicazione di patch [duplicato]

Recentemente ho scoperto diversi seri problemi di sicurezza nel prodotto di un fornitore. Ho lavorato con loro e hanno appena rilasciato una patch. Comprendo che questo è un campo molto competitivo, quindi vorrei pubblicare i miei risultati...
posta 02.09.2016 - 15:10
1
risposta

Considerazioni per le note sulla versione di sicurezza

Ho bisogno di aiuto per capire come gestire le note sulla sicurezza per il nostro prodotto. Creiamo la maggior versione del nostro prodotto ogni sei anni e le versioni di sicurezza o di manutenzione ogni mese. Che cosa dovrei considerare rigu...
posta 23.12.2013 - 15:26
2
risposte

Come pubblicizzare ampiamente una minaccia importante e fissa in un software open source ampiamente utilizzato?

6 mesi fa, ho trovato un buffer overflow in git che ha lo stesso impatto di questa vulnerabilità (con l'esecuzione che consente l'esecuzione del codice lato server) . Ci sono stati assegnati diversi cv ed è stato completamente riparato a...
posta 14.03.2016 - 16:04
1
risposta

Strumenti per identificare e segnalare i tentativi di pirateria originati all'interno di organizzazioni rispettabili?

Oggetto: Devo segnalare i tentativi di hacking? - Errore server Un sacco di persone guarda i propri registri per gli attacchi dall'esterno. Ma chi segnala regolarmente tali attacchi alla fonte? Immagino principalmente che ciò avvenga per te...
posta 03.02.2011 - 15:54
6
risposte

Quali potrebbero essere le conseguenze legali e politiche dello sniffing del traffico?

Ho trovato un buco di sicurezza in un'organizzazione nel Regno Unito con molti dipendenti. Il modulo di accesso invia il nome utente e la password in chiaro al pubblico che affronta IP tramite HTTP. Inizialmente l'ho indicato a IT, ma non hanno...
posta 28.05.2011 - 19:46
5
risposte

Quali sono le probabilità che un database venga violato?

Quanto spesso i siti Web (ei loro database) vengono violati? Hacked come rubato negli account utente, tabelle scaricate e, tutto sommato, danni fatti al database. Sto parlando di siti di e-commerce, e inoltre, oltre a importanti istituzioni f...
posta 24.07.2011 - 19:27
1
risposta

Perché sono stati rivelati Meltdown e Spectre allo stesso tempo?

Sia Meltdown e Specter le vulnerabilità sono state divulgate pubblicamente il 3 gennaio 2018. (6 giorni prima del previsto 9 gennaio). Dal momento che il loro pubblico rivela, c'è stata una certa confusione tra le due vulnerabilità e qual...
posta 09.01.2018 - 15:41