La semana pasada, mientras leía un artículo en un sitio web, la URL que termina en .php?id=1
solo solicitó que se realizara una prueba de SQLi. Cuando confirmé que era vulnerable, también descubrí que no había ningún filtro de entrada de usuario y que era posible un simple "<script>alert(1)</script>
.
Al buscar un correo electrónico de contacto para informar sobre la vulnerabilidad, solo encontré direcciones para departamentos específicos, como [email protected].
Como no quería enviar el informe de vulnerabilidad al azar, llamé a la compañía, explicando que encontré un problema en su sitio web y que sería una buena idea solucionarlo. Expliqué que me gustaría ponerme en contacto con alguien de TI o alguien que tenga alguna relación con las personas que mantienen el sitio web.
La persona que hablaba por teléfono se puso bastante agresiva, me dijo que hiciera una caminata (usé un lenguaje menos amigable) y me dijo que no tenía nada que ver con el departamento de TI del sitio web.
¿Cómo puedo convencer a las personas sobre la importancia de una vulnerabilidad y la divulgación cuando no están familiarizados con la TI? Especialmente cuando no es posible un contacto por correo electrónico?
Para tu información, creo que fui muy educado y calmado con el teléfono.