¿Qué información debo proporcionar al enviar un informe de vulnerabilidad a un programa de recompensas?

Navega tus respuestas
1

Después de encontrar una vulnerabilidad en un programa, uno puede enviarla a un programa de recompensas, como ZDI. Según el sitio web de ZDI, examinarán la vulnerabilidad y posiblemente ofrezcan una recompensa. Si el investigador no acepta la oferta, se compromete a no utilizar la información de vulnerabilidad. Sin embargo, creo que algunas personas podrían no confiar completamente en el programa de recompensas y les gustaría proporcionar información limitada en su presentación.

Mi pregunta es, ¿cuál es la práctica general para proporcionar / negociar información con un programa de recompensas? Estoy pensando en proporcionar una versión de software, una versión de SO, una descripción general de la vulnerabilidad y algunas pruebas. como la información en caso de colisión y analizar los resultados mediante herramientas como! Crash Analyzer explotable. Sin embargo, aunque el programa de recompensas como ZDI alienta al investigador a enviar un PoC, el PoC básicamente revelará la vulnerabilidad por completo. Por lo tanto, el PoC no se incluirá al menos en la presentación inicial.

Por favor, proporcione sus respuestas y comentarios sobre este problema. ¡Gracias!

    
pregunta ZillGate 22.12.2014 - 20:43
fuente

2 respuestas

2

ZDI y otros programas similares NO HARÁN nada sin informar sobre la vulnerabilidad total. No hay datos de desinfección. O confías en ellos, o no lo haces. El ejemplo se aplica a todos los programas enumerados en BugCrowd . Con ZDI, esto es lo que encontré que ha funcionado mejor para minimizar la cantidad de tiempo que necesitarías esperar:

  1. Informe detallado completo del error
  2. Prueba de concepto
  3. Solución de problemas (guía paso a paso para explotar, incluida la depuración)

Lo que ZDI y otros hacen, es echar un vistazo a lo que estás enviando y pasar por el proceso de validación de esto. No se requiere la Prueba de concepto, ya que su personal puede hacer sus propias PoC pero minimiza la cantidad de tiempo de espera.

La solución de problemas de salida (por ejemplo, WinDBG, OllyDBG, ImmunityDBG) les ayuda a ver qué está afectado (EIP, EBX, ECX, etc.) cuando algo se desborda, por ejemplo. Aísla el espacio de direcciones, o ilustra lo que hiciste para algo como nopsledding, etc.

Ahora deduzco que le preocupa que envíe algo, ofrecerá un mínimo, dirá que lo olvide, y continuará informándolo / repararlo / etc. de todos modos. Este no es el caso, por lo tanto, usted firma un acuerdo de no divulgación con ellos. Así que de nuevo:

  • Vulnerabilidad: necesaria para determinar el alcance del daño potencial si X ocurrió
  • PoC: no es necesario pero ayuda a probar la explotación contra un aplicación
  • Datos de depuración / solución de problemas: ayuda a ilustrar qué, cómo y por qué algo fue explotado

No hay una presentación "parcial" ya que gastarán DINERO (tiempo, recursos) para averiguar cuál es el problema (si lo hay). No hay posibilidad de teorías. La cantidad de dinero que ofrecen, se basa en qué tan extendida está la aplicación en uso (por ejemplo, las explotaciones de Microsoft generan grandes cantidades de dinero en comparación con, por ejemplo, MyRandomApplication.exe).

    
respondido por el munkeyoto 22.12.2014 - 21:25
fuente
2

En general, con los programas de recompensas, cuanta más información pueda proporcionar, más probable será que paguen la recompensa. Desafortunadamente, la calidad de muchas de las vulnerabilidades presentadas puede ser muy baja; por ejemplo, conozco un programa de recompensas para un sitio web que con frecuencia recibe advertencias de que javascript estaba visible en el navegador web del usuario.

Por lo tanto, el mejor consejo si no tiene motivos para mantener en secreto la vulnerabilidad, envíe el PoC y tanta información como sea posible para maximizar la posibilidad de pago.

EDIT agregaré, si su interés es maximizar la ganancia, no necesariamente la divulgación, podría ser lo mejor para acercarse a la compañía directamente, pero realmente estos programas están diseñados para fomentar la divulgación responsable, no hacer rico a cualquiera.

    
respondido por el patwhite 22.12.2014 - 21:10
fuente

Lea otras preguntas en las etiquetas

Ejecutando colas en una computadora corporativa ¿Es un servicio web REST sin autenticación o autorización no segura?