Recientemente aprendí sobre wpscan y la seguridad de WordPress, así que decidí intentarlo con un blog de mi empresa. Como resultado obtuve varias vulnerabilidades graves que deben solucionarse. Notifiqué a varios responsables hace dos semanas y ofrecí mi ayuda para arreglarlo, pero nadie ha hecho nada, ni siquiera se ha interesado un poco. Me gustaría escribir una entrada en mi blog, resumiendo qué métodos usé, los resultados que obtuve ...
¿Cuánto tiempo debo esperar antes de publicarlos?
Si la empresa para la que está publicando una vulnerabilidad es su empleador, nunca es una buena idea publicar la vulnerabilidad. Puede ser un informante, pero es probable que pierda su trabajo por descuidar sus responsabilidades.
La divulgación responsable de la publicación se aplica principalmente a una parte externa que no tiene ningún deber para con la compañía y cuyo sustento no depende de la compañía. La razón principal para la divulgación responsable es porque es de interés para el público saber sobre el problema, así como para tomar crédito por el descubrimiento que puede permitirle construir una reputación / currículum. Sin embargo, ejecutar una herramienta de análisis de vulnerabilidades como wpscan no se considera realmente una investigación original, no hay mucho crédito para ganar aquí.
Sin embargo, como empleado de la empresa, deberías luchar contra esto desde adentro. Usted forma parte de la empresa y se encuentra en una posición mucho mejor que una parte externa para impulsar la resolución de la vulnerabilidad.
¿Cuánto tiempo debo esperar antes de publicarlos?
Solo debe publicar el problema si está listo para abandonar la empresa si el problema no se resuelve. Alternativamente, si considera que es de interés para el público saber sobre el tema, puede optar por seguir la ruta de los denunciantes y publicarlo de todos modos si cree que perder su trabajo es un costo suficientemente bueno para el mayor bien del interés público. .
Aunque, tenga en cuenta que no todas las vulnerabilidades de seguridad son de interés público. Una vulnerabilidad que simplemente permite a los usuarios desfigurar el sitio de la compañía, por ejemplo, son vergonzosos para la compañía, pero en realidad no ofrecen beneficios públicos. Una vulnerabilidad que le permite lanzar un cohete nuclear a cualquier parte del mundo o permitir que la NSA realice un espionaje por dragnet, por otro lado, definitivamente sería de interés público. Y hay muchos entre ellos.
Lea otras preguntas en las etiquetas vulnerability disclosure wordpress