Сколько стоит ждать ответа при сообщении о наличии уязвимости на сайте

Информационная безопасность*

В общем — вопрос, нашел на сайте одного из крупнейших магазинов XSS (но мне кажется, там не только она), причем филтрации нет вообще нигде, ни в одном из полей. гипотетически можно из нее сделать активную XSS-ку, слишком глубоко я не копал. В контактах не нашел адреса тех поддержки или веб мастера, послал запрос, куда обращаться с найденной уязвимостью, сначала на один мейл куда было рекомендовано отсылать любые запросы, затем через веб-форму обратной связи. Пока ни ответа ни привета. Вопрос — сколько стоит ждать ответа. Намерен был написать небольшую статейку об этой уязвимости с картинками или видео, но не хочу этого делать прежде, чем исправят.

—

11 февраля в 17:25

Genome_X 16,9

отсортировано по дате по оценке

ответы (7)

lorien 11 февраля в 18:40 #

решение

Экий вы нерешительный.

Дело не в нерешительности, а в простой этике. Было бы мне насрать, я бы опубликовал статью сразу же, без возможости саппарту отреагировать, но мне не насрать. Сегодня им помогу я, завтра кто-то поможет мне, возможно даже на моем примере. Genome_X, 11 февраля в 19:28

Я имел в виду, что вы не можете решить сколько ждать, в этом и нерешительность.
На мыло в whois домена писали? lorien, 11 февраля в 20:47

pnick 11 февраля в 19:22 #

решение

Подождите недельку. Если не ответят — напишите вводную к статье, типа «Написал, предупредил, они забили».

Да, скорее всего так и сделаю. Genome_X, 11 февраля в 19:29

bondbig 11 февраля в 23:43 #

решение

Если совсем ничего не ответили за неделю — можно публиковать. Если бы ответили, что приняли в работу, то ждать следует до закрытия уязвимости или хотя бы месяц. Мое личное ИМХО.

ComodoHacker 12 февраля в 01:19 #

решение

Если компания не ИТ-профиля, это будет непростой квест.

Для начала ваше описание уязвимости должно дойти до человека, который способен его понять (и может быть среагировать). То есть вам нужно пробиться через первую линию поддержки, вторую линию, их начальство, и бог знает кого еще, вплоть до директора по продажам :) (крайний случай, если с ИТ процессами там все плохо). Поэтому сначала вам придется писать на языке, понятном этим людям. И описывать не уязвимость, а ее возможные последствия для бизнеса. Причем это дложны быть очень конкретные вещи, а не абстрактные понятия. Типа «можно будет выкачать весь каталог с ценами», «получить все email-ы сотрудников», «повесить порнобаннеры» и т.д. Результат первого уровня — контакты админа или разработчика и обязательно руководства.
Дальше уже пишите админу об уязвимости, а руководству — о ситуации в целом, «уведомлены такие-то сотрудники, срок до публикации столько-то дней, проконтролируйте».

Да, быть этичным непросто.

AHTOH 12 февраля в 02:00 #

решение

А чего ждете? Если не ответят по контактным адресам, можно просто тихо забыть об уязвимости и продолжать жить спокойно. Вы же не будете беспокоиться о чужом сайте больше, чем сами владельцы этого сайта?

Если же хотите денег срубить на уязвимости, то это палка о двух концах. Если опубликуете и кто-то воспользуется уязвимостью, Вас найдут и будете отвечать, даже если сами ничего не сделали.

За что он будет отвечать?!

Захожу в магазин техники и вижу что у них дырка в окне сквозная в торговый зал. Обращаюсь к сотруднику магазина и показываю дырку — сотрудник отмахивается. Вернувшись домой звоню в контакт-центр магазина — там вечное «занято». Наконец пишу данном факте в свой уютный бложик (вариант — в заводскую многотиражку) и успокаиваюсь.

Внимание — вопрос: если из этого магазина вынесут всё содержимое — буду ли я отвечать за это? menraen, 12 февраля в 02:37

Написал по адресу указанному в whois домена (по совету выше), подожду результата, может там почешуться быстрее.
P.S. вообще забавно, как действительно порой непросто сделать добро людям. При таких трудностях порой начинаешь задумываться, на кой чёрт оно вообще нужно, когда перейти на «темную» сторону гораздо проще. Genome_X, 12 февраля в 08:56

Будет отвечать как пособник совершению преступления. Возможно даже в качестве организатора пойдет. Это зависит от того, как прокурор обставит мотивы помещения этой информации «в свой уютный бложик».
Публикация информации о дырах, это все равно что опубликовать информацию, что дверь в кассу остается не запертой во время обеденного перерыва и «заходи кто хочет, бери что хочет».

Ответьте на вопрос — Зачем нужно публиковать?
И все встанет на свои места. AHTOH, 15 февраля в 20:29

Genome_X 12 февраля в 08:56 #

решение

Капец, на разных сайтах по whois разные контактные данные указаны. OMG! Genome_X, 12 февраля в 09:05

Genome_X 13 февраля в 21:44 #

решение

Все, ответ дали, контакт есть. Видео записал, 10 минут продолжительностью, показано как упражнялся с различными веб формами.

Просто спасибо от меня лично, что сделали доброе дело. AHTOH, 15 февраля в 20:30

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Сколько стоит ждать ответа при сообщении о наличии уязвимости на сайте

отсортировано по дате по оценке
ответы (7)

Теги Хабрахабра

Стандартные