¿La mejor manera de alertar al propietario de un sitio web de una vulnerabilidad?

Question

¿La mejor manera de alertar al propietario de un sitio web de una vulnerabilidad?

#1 de dr jimbob (11 votos)
#2 de schroeder (1 votos)
#3 de Taipo (-1 votos)

6

recientemente estuve navegando en un sitio y noté que al final de la URL decía id = 168, que es un indicador común de que el sitio es vulnerable a un ataque de inyección SQL. Hice algunas pruebas y descubrí que tenía razón, que el sitio Was era vulnerable y que cualquier pirata informático que quisiera podría causar un daño grave. Les envié un correo electrónico desde su enlace "contáctenos", informándoles sobre el problema y pidiéndoles que respondan indicando que recibieron el mensaje. Han pasado 3 semanas, y no he recibido una respuesta. ¿Cuál es la mejor manera de asegurarse de que estas personas conozcan este agujero en su sitio?

sql-injection

pregunta Jon Valentine 06.02.2012 - 21:47

fuente

3 respuestas

Lea otras preguntas en las etiquetas sql-injection

Uso de la contraseña remota segura sin enviar el nombre de usuario en claro ¿Es seguro abrir el puerto 3389 en un enrutador y reenviarlo a un servidor Windows SBS 2003?

score 11 · Answer 1

Primero, lo haría de forma semi-anónima si es posible. Las leyes contra la piratería a menudo son amplias y sus acciones podrían interpretarse como 'piratería' por un equipo legal paranoico / tipos de negocios que están más molestos con tener que gastar más en el desarrollo de sitios web que tener algo seguro.

En segundo lugar, no exploraría el alcance de la vulnerabilidad debido a problemas legales. Por ejemplo, ¿puedo obtener hashes de contraseña? ¿Puedo obtener datos de usuario, etc.?

En tercer lugar, no revela la vulnerabilidad o amenaza con hacerlo a alguien que no esté en su empresa; puede tomar semanas / meses para que un diseñador arregle sensiblemente su código existente. (Por ejemplo, el desarrollador solitario está de vacaciones / incompetente / etc).

Cuarto, intentaría verificar si existen las direcciones de correo electrónico del administrador / desarrollador y contactarlos directamente. La página contact-us podría dirigirse a un departamento de marketing que no comprende qué significa la inyección de SQL e ignoró ese correo electrónico. ¿Las páginas html tienen algún autor / compañía listado en el código fuente con contacto por correo electrónico? ¿O puede ejecutar un whois en el dominio y encontrar un contacto técnico?

whois stackexchange.com
...
TECHNICAL CONTACT INFO
Stack Exchange, Inc.
Sysadmin Team
1 Exchange Plaza
Floor 26
New York
NY
10006
US
Phone:         +1.2122328280 
Email Address: [email protected]

También puedes probar algunos de los correos electrónicos estándar para un dominio (por ejemplo, [email protected] )

Finalmente, si nada de eso funciona, envíe otro mensaje a través de "contáctenos" que enlaza con los artículos que presentan qué es la inyección SQL, qué peligros probablemente representa para su organización, por qué notó que su sitio probablemente era vulnerable a ella. (la misma razón por la cual los tipos nefarios se darán cuenta), y qué deben hacer para que su sitio esté protegido contra este ataque específico.

score 1 · Answer 2

He enviado correos electrónicos como el que recibiste y rara vez recibí una respuesta. Piénselo desde su punto de vista: una persona al azar les dijo que estaban pirateando su sitio ... ¿Cómo les responde? Si recibiera un correo electrónico como ese, solucionaría el problema rápidamente y no respondería. No querría escalar más la "relación" en caso de que la persona que se contacta conmigo quisiera algo más que simplemente informar.

También hay mucho de lo que puedes ser responsable. Informas lo mejor que puedes y luego lo dejas a ellos. Es su sitio, su riesgo, sus costos para remediarlo.

También hay una preocupación legal que puede ser necesario abordar. Al anunciar que usó el sitio de una manera que el propietario no pretendía, podría estar sujeto a las leyes de piratería y podría ser responsable por cualquier daño que el propietario haya encontrado, incluso si no lo causó. Conozca las leyes de su jurisdicción y las del sitio de destino.

score -1 · Answer 3

No todos los descubrimientos provienen de hurgar en sitios en vivo. Los CMS se pueden descargar y explorar, lo mismo con los complementos / complementos para los distintos CMS.

A menudo, existe una arrogancia entre los mantenedores de sitios web en lo que respecta a la seguridad o la percepción de seguridad que pueden tener, pero he encontrado que la mayoría de los autores son agradables y agradecidos por tener información sobre ellos.

La forma más cortés es darles una advertencia y luego seguir adelante. Si hacen algo al respecto, hacen algo al respecto. Últimamente recibí respuestas curiosas de personas con las que me he contactado, solo una vez el año pasado experimenté una reacción negativa al plantear un problema, y dos veces no recibí respuesta cuando señalé un error en los complementos de CMS.

En general, aunque el enfoque aceptado es: - notifique al propietario / autor / desarrollador del problema (no solo a un usuario del sistema de aplicación) - si responde dentro de una semana y es cortés, entonces déles tiempo para arreglar y lanzar una actualización si es ese tipo de sistema (CMS, complementos, etc.), luego libere el error a través de uno de los sitios de db de exploit en línea si no lo tienen Ya lo han hecho ellos mismos. - Sin embargo, si no hay respuesta (incluso una respuesta automática lo hace por mí) después de un par de notificaciones repetidas y un par de semanas de espera, o peor aún, recibe una reprimenda del propietario del sistema afectado, luego la envía a un bugtraq o explota. sitio de la base de datos.

Si ignoraron intencionalmente su notificación, el método de notificación de 0 días, aunque no es el más popular, generalmente les envía el mensaje de una forma u otra.