¿Qué hacer si cree que descubrió una vulnerabilidad de día cero? (estilo de sombrero blanco) [duplicar]

4

¿Alguien descubrió una vulnerabilidad de día cero?

Sé que algunos hackers de sombrero negro venden ese tipo de información en la web profunda. Pero si eres un sombrero blanco ...

  • ¿Qué pasos hay que realizar?
  • ¿Cómo asegurar que un CVE se publique con su nombre? ¿Quién está a cargo de esta gestión?

Gracias.

    
pregunta OscarAkaElvis 24.05.2017 - 22:26
fuente

2 respuestas

0

Yo mismo, informé al proveedor acerca de la vulnerabilidad, pero no estuvieron de acuerdo con eso, así que lo revelé en exploit-db y tor :) y después de un mes, lo arreglaron

Si lo quieres en el estilo de hacker de sombrero blanco entonces,

1.Informe al propietario / proveedor (envíelos por correo), explíqueles la vulnerabilidad y se les proporcionará un parche para la vulnerabilidad.

2.Puedes publicarlo en CVE: enlace siga el método dado en el sitio web

estilo hacker de sombrero negro

1. Véndelo en el navegador Tor

2.disclícalo en exploit-db: enlace

3. Véndalo en el centro de explotación: enlace

4. Véndalo en ZDI: enlace

    
respondido por el Ekalavya 25.05.2017 - 07:56
fuente
5

Hay un ISO dedicado a este tema enlace

Generalmente se acepta trabajar con el proveedor afectado y darles tiempo para resolver el problema dentro de un marco de tiempo razonable. El proyecto cero de Google toma la postura de 90 días para arreglar desde la divulgación inicial al proveedor y la divulgación completa desde ese punto.

    
respondido por el Greg 24.05.2017 - 23:04
fuente

Lea otras preguntas en las etiquetas