web-dev-qa-db-fra.com

Signaler des sites vulnérables

Prenez ce scénario:

Vous parcourez le Web et trouvez un site Web vulnérable à l'injection SQL. Être un bon gars/Gal, vous signalez la vulnérabilité au propriétaire du site (si vous êtes capable de trouver des coordonnées).

Que faites-vous si personne ne répond ou dit-on merci, mais ne pourrez jamais résoudre le problème?

16
Alexandru Luchian

En fait, c'est un problème généralisé. Et peu importe si c'est petit ou gros site Web, il ne faut pas obtenir de commentaires en raison de nombreuses raisons - aucun courrier électronique valide, personne n'est prêt à réparer, quelqu'un n'a tout simplement pas l'impression que c'est son devoir.

Habituellement, il devrait y avoir de nombreux courriels de contact avec une personne qui est en quelque sorte responsable de la gestion des sites Web. Les pentasters essaient quelque chose comme admin @ ..., sécurité @ ..., etc. Autre possibilité d'obtenir un e-mail provient de DNS Whois. C'était à propos de cause comment trouver le contact.

Si vous avez une réponse, mais personne ne fixe la vulnérabilité pendant un certain temps, essayez d'envoyer un deuxième courrier. Ne spamez pas jusqu'à la mort, mais veuillez rappeler de la question.

Si personne ne répond et aucune possibilité d'entrer en contact avec des représentants du site Web, bien, il reste encore trois façons de faire ce que vous pouvez faire. Mauvais signe, mais c'est un problème de propriétaire de site Web - se soucient-ils vraiment? Donc, à ce stade, vous pouvez:

  1. allez la divulgation complète - par exemple, post-à http://www.xssed.com/ ;
  2. laisser la vulnérabilité seule;
  3. patch vous-même - Yep, enfreindre et résoudre la vulnérabilité.

Les points 1 et 3 sont en quelque sorte risqués, surtout 3, mais si vous vous souciez vraiment, les choses peuvent être pires. Je suppose que c'est tout.

5
anonymous

Vous pouvez consulter une question très identique posée sur Stackoverflow piratage et exploitation - comment gérez-vous des trous de sécurité que vous trouvez?

Il y a de bonnes réponses là-bas à découper la chose éthique à faire, la chose légale que vous devriez faire et plus encore.

0
Chris Dale