¿Cómo y dónde puedo anunciar mejor una vulnerabilidad de XSS en un sitio web relativamente conocido?

6

Me gustaría recibir consejos sobre cómo y dónde anunciar una vulnerabilidad de XSS (XSS persistente para ser exactos). Mi mayor temor es que el anuncio se desvanezca, lo que hace que la divulgación sea ineficaz para presionar a la organización para que arregle la vulnerabilidad. Después de eso, la vulnerabilidad simplemente persistiría, aumentando las posibilidades de que un hacker de "sombrero negro" la explotara. Eso es lo contrario de lo que estoy tratando de lograr.

Estoy bastante lejos en el proceso de "divulgación responsable". Estoy tratando de comportarme muy éticamente aquí.

Si se tratara de una vulnerabilidad en algo tan grande como Facebook o Google o algo así, creo que los blogs de seguridad lo captarían fácilmente, posiblemente incluso en la prensa de tecnología general. Este sitio es definitivamente más "de segundo nivel", lo que hace que las noticias sean menos jugosas. Además, no tengo ganas de tomarme el tiempo para escribir un exploit (por ejemplo, un gusano, quizás capturando cookies de usuario en el camino), que supongo que mejoraría el valor de las noticias. De hecho, me sorprende la cantidad de tiempo que dedico a esto, algo que "demuestra" que me preocupo por mí mismo. (Nunca he estado en una situación similar antes)

Soy plenamente consciente de que esta pregunta es "subjetiva" (incluso se detecta automáticamente como tal), pero todavía voy a probar mi suerte, porque realmente podría necesitar ayuda aquí.

Nota, etiqueté esto con "mercados de vulnerabilidad" porque creo que esto está algo relacionado. Sin embargo, no estoy buscando venderlo. Solo quiero verlo arreglado.

Gracias de antemano. :)

Tal vez debería haber dejado más claro que tal como está ahora, no tengo mucha fe en el deseo de la organización de corregir esta vulnerabilidad, sin presión externa. Por eso estoy explorando mis opciones.

    
pregunta Anonymous 18.02.2013 - 18:36
fuente

3 respuestas

8

Puede hacer una divulgación responsable con ZDI (Zero day Initiative). Son muy conocidos por su trabajo y usted tiene una buena oportunidad de ganar algo de dinero dependiendo de cómo se puedan trazar las grandes hazañas. La vulnerabilidad que has encontrado.

Muchos expertos en seguridad envían CVE's a ZDI, es legal y seguro en caso de que tenga miedo de que la compañía lo demande.

En realidad, actúan como mediadores entre usted y la compañía y le informan a la compañía acerca de la vulnerabilidad en su nombre.

  

Enlace a ZDI

    
respondido por el Gufran 18.02.2013 - 19:22
fuente
4

Aunque la pregunta puede considerarse subjetiva (estoy de acuerdo con eso y sospecho que estará marcado), hay una respuesta muy objetiva: "pregunte al propietario del software cómo le gustaría que se gestionara la divulgación". Si son una organización de buena reputación, tendrán que seguir un procedimiento formal de divulgación, así que síganlo. En la mayoría de los casos, esto implica enviar un informe CVE que, una vez aprobado, se recogerá y publicará en las listas relevantes (MITRE, certificado de EE. UU., Etc.).

    
respondido por el grauwulf 18.02.2013 - 18:51
fuente
1

Use la página "acerca de" de la compañía o "contáctenos" para comunicarse con la persona adecuada.

También intente enviar un correo electrónico a [email protected], [email protected], [email protected] o [email protected]

También puede consultar la página de Whois de la compañía, o hacer una búsqueda ARIN y enviar un correo electrónico a ese contacto

    
respondido por el random65537 19.02.2013 - 00:16
fuente

Lea otras preguntas en las etiquetas