¿Los informes de vulnerabilidad a menudo se ignoran por falta de información?

1

Hace poco encontré el siguiente artículo .

Tl; dr : se ignoró una vulnerabilidad real, por lo que el investigador de seguridad explotó la vulnerabilidad para llamar la atención del equipo de seguridad de Facebook.

Lo que más me llamó la atención fue el hecho de que el equipo decidió no actuar en el informe porque supuestamente no tenían suficiente información para reproducir el error, y por lo tanto simplemente respondió "esto no es un error".

Además, esta es la primera vez que me encuentro con este caso en las noticias, pero no parece ser un evento aislado. Es decir, tengo la sensación de que esto sucede mucho más a menudo.

  • ¿Cómo deciden los equipos cuando un informe no es "lo suficientemente práctico"? ¿Ocurre a menudo?

  • ¿Hay otros casos famosos como el anterior?

pregunta aedcv 25.01.2018 - 21:26
fuente

1 respuesta

1

Un informe para ser utilizable debe ser reproducible; por ejemplo, herramientas de puntos de entrada de cargas útiles utilizadas, etc. Un informe de error no significa nada si el informador usó una herramienta personalizada y una carga útil que el equipo de seguridad y no proporciona pasos y cargas útiles detallados.

Los equipos de seguridad también ven las aplicaciones de manera diferente a como lo hace un desarrollador. Para mí, el problema de Facebook no es un gran impacto en comparación con una inyección de cmd o un error de inyección de SQL. Tal vez no evaluaron esto correctamente y observaron el impacto potencial: los emisores de spam que aprovechan este error para publicar en la página de oneoness, que a su vez podrían vincularse a sitios / cargas maliciosas maliciosas

    
respondido por el McMatty 25.01.2018 - 23:54
fuente

Lea otras preguntas en las etiquetas