Domande con tag 'ethics'

domande con tag
3
risposte

Come e dove posso annunciare meglio una vulnerabilità XSS in un sito web relativamente noto?

Vorrei ricevere consigli su come e dove annunciare una vulnerabilità XSS (XSS persistente per essere precisi). La mia più grande paura è l'annuncio che ha nevicato, rendendo la divulgazione inefficace nel fare pressione sull'organizzazione per c...
posta 18.02.2013 - 18:36
3
risposte

Divulgazione in potenziali situazioni di perdita della vita, con un venditore non collaborativo

Recentemente ho scoperto un'interfaccia web accessibile pubblicamente a un componente altamente sensibile di apparecchiature di laboratorio, il cui malfunzionamento potrebbe comportare una potenziale perdita di vite umane o gravi problemi di sal...
posta 12.12.2012 - 22:42
1
risposta

Pubblicare un exploit dopo il contatto del fornitore e l'applicazione di patch [duplicato]

Recentemente ho scoperto diversi seri problemi di sicurezza nel prodotto di un fornitore. Ho lavorato con loro e hanno appena rilasciato una patch. Comprendo che questo è un campo molto competitivo, quindi vorrei pubblicare i miei risultati...
posta 02.09.2016 - 15:10
2
risposte

Cosa fare in risposta a un codice sorgente e / o fuga di dati da un provider di hosting di terze parti?

Il mio codice sorgente PHP e il database (PHPMyAdmin Dump) sono stati trapelati pubblicamente e credo che l'host web che ho utilizzato per questo servizio sia responsabile della perdita. Alle prime apparizioni, il web host sembrava essere mol...
posta 25.08.2011 - 22:20
2
risposte

Il mio college ospita un servizio particolarmente vulnerabile. Li ho avvertiti 4 anni fa. Cosa dovrei fare? [duplicare]

Quattro anni fa, ho scoperto che un'applet sul sito Web del mio college invia query SQL direttamente a un'applicazione server. I database contengono informazioni nominali e personali su studenti e voti, e forse più (SSN?), Ma non sono sicuro p...
posta 04.11.2014 - 21:41
3
risposte

In qualità di professionista della conformità di sicurezza, cosa devo fare se trovo che il mio datore di lavoro ha un AOC PCI ma non è conforme?

Ho un dilemma etico. Un paio di settimane fa, ho accettato un ruolo di conformità alla sicurezza. Negli ultimi cinque anni ho lavorato come QSA PCI prima di accettare questo ruolo. Nel breve periodo in cui sono stato con la compagnia, sono ve...
posta 20.04.2018 - 05:38
3
risposte

Risolve problemi di sicurezza senza l'autorizzazione del capo / cliente

Ho un discreto numero di problemi di sicurezza con le operazioni di un cliente e mi ha fatto riflettere su tutti i problemi di sicurezza che ho osservato e notato nel corso degli anni con diversi clienti / posti di lavoro. Le preoccupazioni soll...
posta 08.04.2014 - 22:22
2
risposte

2000 Set di informazioni personali

Quindi la storia va come questa .. Recentemente ho riscoperto un vecchio sito web che andavo abbastanza spesso ma non ricordo il mio login. Il sito è mal fatto e non è stato aggiornato in circa 5 anni, quindi ho provato una semplice SQL-Injec...
posta 01.05.2014 - 09:25
4
risposte

Quali preoccupazioni particolari dovresti tenere a mente quando si tratta di wardriving?

Sto pensando di avviare un wardrive di quartiere, con l'obiettivo di aumentare la consapevolezza dei rischi legati all'esecuzione di reti wireless non protette. In questo momento, sono ancora in fase di pianificazione di questo progetto. Il p...
posta 17.01.2011 - 16:41
2
risposte

Cosa fare se pensi di aver scoperto una vulnerabilità zero day? (stile cappello bianco) [duplicato]

Qualcuno ha scoperto una vulnerabilità zero day? So che alcuni hacker black hat vendono questo tipo di informazioni sul deep web. Ma se sei un cappello bianco ... Quali passaggi eseguire? Come assicurare che un CVE venga rilasciato co...
posta 24.05.2017 - 22:26