Preguntas con etiqueta 'disclosure'

preguntas con etiqueta
5
respuestas

Efecto de la fuga de código fuente de una suite de seguridad en la seguridad

Me interesa saber qué amenazas presenta, si se filtra el código fuente de una suite de seguridad. Me vino a la mente después de leer las siguientes URL: enlace enlace ¿Cuál sería la amenaza si el código fuente estuviera actualizado...
hecha 04.05.2011 - 14:08
3
respuestas

¿Cómo y dónde puedo anunciar mejor una vulnerabilidad de XSS en un sitio web relativamente conocido?

Me gustaría recibir consejos sobre cómo y dónde anunciar una vulnerabilidad de XSS (XSS persistente para ser exactos). Mi mayor temor es que el anuncio se desvanezca, lo que hace que la divulgación sea ineficaz para presionar a la organización p...
hecha 18.02.2013 - 18:36
3
respuestas

Divulgación en situaciones potenciales de pérdida de vida, con un proveedor que no coopera

Recientemente descubrí una interfaz web de acceso público para un equipo de laboratorio altamente sensible, cuyo funcionamiento defectuoso podría resultar en una posible pérdida de vidas o problemas de salud graves para una gran cantidad de pers...
hecha 12.12.2012 - 22:42
1
respuesta

Publicación de una vulnerabilidad después del contacto del proveedor y parches [duplicado]

Recientemente descubrí varios agujeros de seguridad graves en un producto de proveedores. Trabajé con ellos y acaban de lanzar un parche. Entiendo que este es un campo muy competitivo, por lo que me gustaría publicar mis hallazgos como una...
hecha 02.09.2016 - 15:10
1
respuesta

Consideraciones para las notas de la versión de seguridad

Necesito ayuda para comprender cómo administrar las notas de la versión de seguridad de nuestro producto. Creamos la versión principal de nuestro producto cada medio año y las versiones de seguridad o mantenimiento cada mes. ¿Qué debo conside...
hecha 23.12.2013 - 15:26
2
respuestas

¿Cómo anunciar ampliamente una amenaza importante fija en el software de código abierto de uso general?

Hace 6 meses, encontré un búfer desbordamiento git que tiene el mismo impacto que esta vulnerabilidad (con la excepción de que permite la ejecución del código del lado del servidor) . Se le asignaron varios cve y se corrigió completamente...
hecha 14.03.2016 - 16:04
1
respuesta

¿Herramientas para identificar e informar sobre intentos de piratería que se originan dentro de organizaciones acreditadas?

Re: ¿Debo informar sobre intentos de piratería? - Error del servidor Mucha gente mira sus propios registros para detectar ataques desde el exterior. ¿Pero quién reporta regularmente tales ataques a la fuente? Principalmente me imagino que e...
hecha 03.02.2011 - 15:54
6
respuestas

¿Cuáles podrían ser las consecuencias legales y políticas de la detección de tráfico?

Encontré un agujero de seguridad en una organización en el Reino Unido con muchos empleados. El formulario de inicio de sesión envía el nombre de usuario y la contraseña en texto sin cifrar al IP público que se encuentra a través de HTTP. Inicia...
hecha 28.05.2011 - 19:46
5
respuestas

¿Qué posibilidades hay de que una base de datos sea hackeada?

¿Con qué frecuencia se piratean los sitios web (y sus bases de datos)? Se piratearon como en las cuentas de usuario robadas, se borraron las tablas y, en definitiva, se hizo daño a la base de datos. Estoy hablando de sitios web de comercio el...
hecha 24.07.2011 - 19:27
1
respuesta

¿Por qué se revelaron Meltdown y Specter al mismo tiempo?

Tanto Meltdown como Spectre se divulgaron públicamente el 3 de enero de 2018. (6 días antes del 9 de enero previsto originalmente). Desde su divulgación pública, ha habido cierta confusión entre las dos vulnerabilidades y cuáles son las d...
hecha 09.01.2018 - 15:41