web-dev-qa-db-ja.com

脆弱なサイトの報告

このシナリオを考えてみましょう:

Webを閲覧して、SQLインジェクションに対して脆弱なWebサイトを見つけます。あなたは善良な人物/ギャルであり、脆弱性をサイトの所有者に報告します(連絡先の詳細を見つけることができる場合)。

誰も返信を返さなかったり、感謝の言葉を述べても、問題を解決できない場合はどうしますか?

16

これらの質問に対する回答を読むことから始めます。

別のメールアドレスを使用して、もう一度やり直すことから始めます(個人的な確認を受け取っていない限り、実際に誰かがあなたのメールを読んでいるとは確信できません)。

それがうまくいかない場合、私はそれが依存すると言います:

  • 大きな有名なサイトで、視認性が高い場合は、公開するサイトがあります。 ( http://isc.sans.edu/diary.html?storyid=8701 はいくつかをリストしていますが、私はそれについて完全には満足していません。)
  • それがより小さな未知のサイトである場合-脆弱性を公表する理由がない場合、それは、さもなければそれらを知らないか、気にしないであろう攻撃者を引き寄せるだけです。

やるべきことは他にほとんどありません-あなたはすでに市民としての義務を果たしています。

7
AviD

実際、これは広範囲にわたる問題です。そして、これが小規模または大規模なWebサイトであるかどうかに関係なく、多くの理由により、フィードバックが得られないことがあります。有効な連絡先電子メールがない、だれも修正したくない、誰かが自分の義務であると感じていないだけです。

通常、何らかの形でWebサイトの管理を担当する人との連絡用の電子メールはたくさんあるはずです。ペンテスターは、admin @ ...、security @ ...などを試します。電子メールを受信する他の可能性は、DNS whoisからです。それは、連絡先を見つける方法についてのケースでした。

応答はあったが、しばらくの間誰も脆弱性を修正していない場合は、2番目のメールを送信してみてください。死ぬまでスパムしないでください、しかし問題について親切に思い出させてください。

誰も返信せず、ウェブサイトの担当者に連絡する可能性がない場合でも、できることは3つあります。悪い兆候ですが、それはウェブサイトの所有者の問題です-彼らは本当に気にしますか?したがって、この時点で次のことができます。

  1. 完全な開示を行う-たとえば、 http://www.xssed.com/ に投稿します。
  2. 脆弱性はそのままにします。
  3. 自分でパッチを当てる-うん、侵入して脆弱性を修正する。

ポイント1と3、特に3は、どういうわけか危険ですが、本当に気にかけると事態は悪化する可能性があります。それだけだと思います。

5
anonymous

StackOverflowで寄せられたまったく同じ質問をチェックできます ハッキングと悪用-見つかったセキュリティホールにどのように対処しますか?

倫理的なこと、行うべき法的なことなどについて、いくつかの良い答えがあります。

0
Chris Dale