Me gustaría recibir consejos sobre cómo y dónde anunciar una vulnerabilidad de XSS (XSS persistente para ser exactos). Mi mayor temor es que el anuncio se desvanezca, lo que hace que la divulgación sea ineficaz para presionar a la organización para que arregle la vulnerabilidad. Después de eso, la vulnerabilidad simplemente persistiría, aumentando las posibilidades de que un hacker de "sombrero negro" la explotara. Eso es lo contrario de lo que estoy tratando de lograr.
Estoy bastante lejos en el proceso de "divulgación responsable". Estoy tratando de comportarme muy éticamente aquí.
Si se tratara de una vulnerabilidad en algo tan grande como Facebook o Google o algo así, creo que los blogs de seguridad lo captarían fácilmente, posiblemente incluso en la prensa de tecnología general. Este sitio es definitivamente más "de segundo nivel", lo que hace que las noticias sean menos jugosas. Además, no tengo ganas de tomarme el tiempo para escribir un exploit (por ejemplo, un gusano, quizás capturando cookies de usuario en el camino), que supongo que mejoraría el valor de las noticias. De hecho, me sorprende la cantidad de tiempo que dedico a esto, algo que "demuestra" que me preocupo por mí mismo. (Nunca he estado en una situación similar antes)
Soy plenamente consciente de que esta pregunta es "subjetiva" (incluso se detecta automáticamente como tal), pero todavía voy a probar mi suerte, porque realmente podría necesitar ayuda aquí.
Nota, etiqueté esto con "mercados de vulnerabilidad" porque creo que esto está algo relacionado. Sin embargo, no estoy buscando venderlo. Solo quiero verlo arreglado.
Gracias de antemano. :)
Tal vez debería haber dejado más claro que tal como está ahora, no tengo mucha fe en el deseo de la organización de corregir esta vulnerabilidad, sin presión externa. Por eso estoy explorando mis opciones.