Preguntas con etiqueta 'disclosure'

preguntas con etiqueta
4
respuestas

¿Las mejores prácticas para informar un sitio web en el que se han comprometido?

Recibí un correo electrónico no deseado que dice que me está facturando por algún servicio en Nueva Jersey, EE. UU. con quien no he tenido ningún trato. El correo electrónico incluye un enlace a un archivo zip que se encuentra en un sitio web de...
hecha 05.01.2014 - 00:59
2
respuestas

¿Cómo informar una vulnerabilidad de seguridad que involucra a varias empresas no relacionadas?

Mientras participaba en un programa de recompensas de errores, me topé con un problema que provocaba una vulnerabilidad de seguridad cuando se explotaba con otros problemas en productos no relacionados. Todos esos problemas no son vulnerabili...
hecha 05.03.2018 - 22:45
3
respuestas

Encontró una vulnerabilidad de seguridad en el sitio relacionado con gov

Así que no estoy seguro de cómo tratar con lo que encontré. Es un agujero de seguridad realmente simple, pero abre una gran cantidad de datos personales si se explota. Estaba en un sitio web de utilidad del gobierno (siendo vago intencionalme...
hecha 14.04.2015 - 02:20
1
respuesta

¿Debo hacer un seguimiento de las vulnerabilidades que se divulgaron hace más de un año pero no se han corregido?

Background: Hace unos años, pregunté a esta pregunta sobre la revelación de vulnerabilidades algo serias encontradas en la red de computadoras de mi escuela secundaria. Más de dos años después, se informó al director (al escuchar a otros...
hecha 10.08.2017 - 19:47
4
respuestas

¿Dónde informar públicamente de una vulnerabilidad, después de que el desarrollador la ignore? [duplicar]

Si he descubierto una vulnerabilidad y la he divulgado al desarrollador del sitio web / aplicación, ¿cómo debo revelarla públicamente? Le di al desarrollador tiempo suficiente para abordar el problema, según lo recomendado por esto . Sé qu...
hecha 25.07.2016 - 13:31
1
respuesta

¿Existe un proceso documentado para el lanzamiento de información oficial para las vulnerabilidades embargadas en el sistema CVE?

¿Existe un proceso documentado para la publicación de información oficial para las vulnerabilidades de embargo en el sistema de vulnerabilidades y exposiciones comunes (CVE)? Si existe un proceso de este tipo, ¿cómo aborda situaciones como la...
hecha 03.01.2018 - 18:23
3
respuestas

plantilla de correo electrónico de notificación de ataque / abuso

Estoy creando una plantilla para usar cuando se envían notificaciones de "abuso" a los ISP, proveedores de alojamiento, etc., para cuando los ataques se originen desde su bloque de red. ¿Hay ejemplos de plantillas utilizadas para este propósi...
hecha 10.10.2012 - 21:44
2
respuestas

¿Es la falta de entrada de DNS de comodín una vulnerabilidad de seguridad?

Un amigo de un amigo recibió un correo electrónico de un investigador de seguridad que parece legítimo. El investigador presentó varias vulnerabilidades, una de ellas se lee así    Vulnerabilidad # ...       Título: ¡Falta de entrada de DNS...
hecha 28.11.2015 - 19:11
2
respuestas

Ética y economía en la investigación de seguridad

¿Cómo podemos diseñar un mercado para la divulgación de información donde los investigadores de seguridad individuales puedan beneficiarse económicamente de una manera ética? Suponga un mercado en el que los participantes sean gobiernos, inve...
hecha 17.11.2011 - 18:37
1
respuesta

¿Cómo ser tomado en serio cuando se hace una divulgación responsable?

La semana pasada, mientras leía un artículo en un sitio web, la URL que termina en .php?id=1 solo solicitó que se realizara una prueba de SQLi. Cuando confirmé que era vulnerable, también descubrí que no había ningún filtro de entrada de...
hecha 17.05.2018 - 12:05