Informar sobre la vulnerabilidad de la inyección SQL a una empresa que no le importa

Navega tus respuestas
2

Acabo de terminar de crear un CMS dirigido a una determinada industria y construí un sitio de prueba para ver cómo funciona todo. Escribí un programa para verificar las vulnerabilidades de inyección SQL y el programa siguió un enlace de blog a un sitio web externo.

El programa descubrió que el sitio externo tenía una vulnerabilidad masiva que lo dejaba abierto a prácticamente cualquier persona que pudiera acceder a cada bit de datos en su servidor MySQL y ejecutar consultas, etc. El sitio externo es el líder de la marca en su industria y hacer millones y millones de ventas por año. Intenté contactarlos para informarles e incluso fui tan lejos como para contactar a la compañía que construyó su plataforma, pero me ignoraron bastante y no he sabido nada de ellos. Su base de datos contendría los detalles de cientos de miles de clientes y todos sus datos. Podría fácilmente hacerme administrador del sitio, etc. en unos segundos, pero no me escucharán a pesar de que me haya ofrecido compartir la vulnerabilidad con ellos y ayudar de cualquier forma posible.

¿Hay algo más que pueda hacer porque es uno de los mayores riesgos de seguridad que he encontrado personalmente? ¿Hay otros pasos que debería seguir para informar esto?

    
pregunta Ciaran87Bel 23.08.2014 - 15:49
fuente

2 respuestas

2

Echa un vistazo a cómo Secunia trata con él. Te podría ayudar a lo largo de:

enlace

Si no se conoce ningún contacto de seguridad para el proveedor, un correo electrónico que solicita la dirección de correo electrónico del contacto de seguridad puede enviarse inicialmente a ciertas direcciones de correo electrónico públicas asociadas con el proveedor. Es política de Secunia nunca enviar información de vulnerabilidad a través de formularios en línea. Sin embargo, se pueden usar para solicitar información de contacto de seguridad.

Cuando se identifica un contacto de seguridad u otra dirección de correo electrónico relevante, un proveedor recibe inicialmente un correo con detalles de vulnerabilidad junto con una fecha de divulgación preestablecida (generalmente establecida un miércoles dos semanas después).

Si el proveedor no responde al correo inicial dentro de una semana, se reenvía.

Si no se ha recibido ninguna respuesta el día de la fecha de divulgación preestablecida, la información de vulnerabilidad se publica inmediatamente sin más intentos de coordinación.

Si el proveedor responde al correo inicial o al correo enviado, se puede establecer una nueva fecha de divulgación en caso de que el proveedor no pueda cumplir con la fecha preestablecida.

Secunia espera que los proveedores proporcionen actualizaciones de estado continuas sobre el progreso. Si no se proporciona ninguno de forma predeterminada, se contactará al proveedor aproximadamente una vez al mes con una solicitud de actualización de estado.

Si un proveedor no responde a una solicitud de actualización de estado, se reenvía una semana después.

Si el proveedor no responde a dos solicitudes de actualización de estado consecutivas, se envía un correo electrónico al proveedor informando que la información de vulnerabilidad se divulgará una semana después si no se recibe una respuesta. No se ha recibido ninguna respuesta antes de esta fecha, la información de vulnerabilidad se publica inmediatamente sin más intentos de coordinación.

Secunia Research publicará la información sobre la vulnerabilidad cuando:

a) Se alcanza la fecha de divulgación predeterminada / acordada.

b) El proveedor emite una solución o un aviso de seguridad.

c) La información sobre la misma vulnerabilidad es publicada por un tercero.

d) Ha transcurrido medio año o un año completo desde la fecha de contacto inicial (consulte # 10 y # 11 para obtener más información).

Por defecto, las vulnerabilidades se coordinan por no más de 6 meses. Aproximadamente un mes antes de la marca de ½ año, el proveedor recibe información sobre una fecha de divulgación fija establecida por Secunia Research en la marca de ½ año. En ese momento, se publica un aviso de Secunia independientemente de la disponibilidad del parche.

En algunos casos, una vulnerabilidad puede coordinarse hasta por un año completo si el proveedor está comunicando una clara intención de abordar la vulnerabilidad y puede comprometerse a una fecha dentro de ese período y se considera que la vulnerabilidad es compleja. / p>     

respondido por el Ian 24.08.2014 - 00:41
fuente
0

normalmente la mayoría de las empresas responden con su dirección de correo electrónico de contacto. o puede ponerse en contacto con su webmaster marcando la barra de pie de página que desarrolló el sitio. Si está buscando una recompensa o envíeles un correo electrónico con el comprobante y diga que si pueden pagar una cierta cantidad de dinero, también puede asegurar su aplicación web. 1.checked clima tienen página de facebook / o empleado en la red social (seguro que tienen).
2.Seleccione su última opción sería contactar a través de la línea directa.

Después de todo, depende de ellos tomar medidas. si no solucionaron su error, ciertamente algún tipo aleatorio explotará el sistema con Google Dork al azar pronto

    
respondido por el Ruwan Ranganath 23.08.2014 - 18:16
fuente

Lea otras preguntas en las etiquetas

¿Se puede almacenar la clave secreta maestra de GPG como de solo lectura? Posibilidad de usar CA como un punto de ataque por parte de organizaciones gubernamentales bajo su presión