Recientemente estuve navegando en un sitio que parecía haber sido diseñado en 2000. Sin embargo, este sitio tiene un buen ranking de Alexa y una comunidad en línea bastante activa. Para la protección del sitio, no daré detalles específicos sobre el sitio.
Encontré un XSS trivial reflejado en una página cuando seguí un enlace roto y vi que un parámetro de URL se reflejaba en el HTML. Cavé un poco más y encontré algunos otros reflejados & Agujeros XSS almacenados. Busqué información de contacto en el sitio y encontré el correo electrónico del administrador y una página sobre la seguridad del sitio.
En esta página, el propietario se jactó de la seguridad del sitio, lo que hace que algunas reclamaciones sean irrelevantes para XSS. El propietario también dijo que si incluso intentas hackear el sitio, el propietario le dirá al FBI y no quiero meterme en problemas legales por presentar un agujero de seguridad. El propietario también afirma que el sitio carece de valor para cualquier persona que entre en él porque no se almacenan datos importantes. Sin embargo, el sitio tiene un inicio de sesión con nombres de usuario y contraseñas, y XKCD # 792 nos dice que robar contraseñas es algo muy importante.
La página de seguridad también afirma que el texto está bien saneado y que el texto no seguro se elimina. Sin embargo, el único ajuste que tuve que hacer para quedar reflejado & XSS almacenado fue para hacer que las etiquetas HTML estuvieran en mayúsculas (las etiquetas en minúsculas se eliminaron, posiblemente de una manera insegura).
No estoy seguro de cómo informar un agujero de seguridad en este sitio web sin ser arrestado. ¿Qué debo hacer?