¿Cómo ser tomado en serio cuando se hace una divulgación responsable?

7

La semana pasada, mientras leía un artículo en un sitio web, la URL que termina en .php?id=1 solo solicitó que se realizara una prueba de SQLi. Cuando confirmé que era vulnerable, también descubrí que no había ningún filtro de entrada de usuario y que era posible un simple "<script>alert(1)</script> .

Al buscar un correo electrónico de contacto para informar sobre la vulnerabilidad, solo encontré direcciones para departamentos específicos, como [email protected].

Como no quería enviar el informe de vulnerabilidad al azar, llamé a la compañía, explicando que encontré un problema en su sitio web y que sería una buena idea solucionarlo. Expliqué que me gustaría ponerme en contacto con alguien de TI o alguien que tenga alguna relación con las personas que mantienen el sitio web.

La persona que hablaba por teléfono se puso bastante agresiva, me dijo que hiciera una caminata (usé un lenguaje menos amigable) y me dijo que no tenía nada que ver con el departamento de TI del sitio web.

¿Cómo puedo convencer a las personas sobre la importancia de una vulnerabilidad y la divulgación cuando no están familiarizados con la TI? Especialmente cuando no es posible un contacto por correo electrónico?

Para tu información, creo que fui muy educado y calmado con el teléfono.

    
pregunta toom 17.05.2018 - 14:05
fuente

1 respuesta

3

La regla básica es que, si un sitio web no tiene una política de divulgación responsable, cualquier equipo de seguridad que se ocupe de sus recursos públicos es una indicación de que no les importa la seguridad de sus recursos ni van a considerar ningún informe de forma aleatoria. persona todavía . Si encuentro algunos problemas importantes en el sitio web de cierta compañía importante, lo informaría a través del canal de comunicación correcto y se los recordaré un par de veces y debería ser así.

  

La persona en el teléfono se puso bastante agresiva, me dijo que tomara una caminata   (usé un lenguaje un poco menos amigable) y me dijo que no tenía nada que hacer   con su departamento de TI del sitio web.

Tú eres un don nadie y él tiene razón. Supongo que no está al tanto de cosas como la recompensa de errores, un investigador de seguridad independiente. Por lo que es poco probable que honre algo que salga de ti. Ha habido numerosos casos en los que los propietarios de sitios web se enojaron y crearon problemas para los investigadores. Lo más inteligente que puede hacer aquí es dejarlo ir y buscar otro lugar donde se aprecien sus esfuerzos. No tienen una política o procedimiento por escrito que pueda defenderlo si le preguntan por qué generó ese tráfico malicioso en nuestro sitio web.

  

¿Cómo puedo convencer a las personas sobre la importancia de una vulnerabilidad y   ¿La revelación cuando no están familiarizados con la TI? Especialmente cuando no   contacto por correo electrónico es posible?

Lo convincente en este caso se debe hacer a la persona correspondiente y aquí no tiene contacto. No puedes ir al azar explicando los puntos débiles de su sitio web a la persona que atiende el teléfono o enviando el informe a través de un canal de redes sociales como Facebook. Esto no sería una divulgación responsable.

Lo correcto es solicitar la información de contacto de su equipo de seguridad en el correo electrónico de contacto oficial sin explicar el problema. Si recibe una respuesta oficial, actúe en consecuencia, de lo contrario no les importará, por lo que no debería hacerlo usted. Puedes enviar dos o tres recordatorios semanales corteses y eso es todo.

    
respondido por el Youbecks003 17.05.2018 - 14:49
fuente

Lea otras preguntas en las etiquetas