脆弱性を発見し、ウェブサイト/アプリの開発者に公開した場合、どのように公開しますか?
this で推奨されているように、問題に対処するために十分な時間を開発者に与えました。潜在的なユーザーに警告するために、私は今、公に開示すべきであると知っていますが、これをどこでどのように行うべきですか?
CERTに参加してみることができます。 https://vulcoord.cert.org/VulReport/
次の場合、レポートを受け入れる可能性が高くなります。
- 技術的に正確で、十分に詳細で、合理的に完全である
- 複数のベンダーに影響を与える
- 安全性または重要なインフラストラクチャに影響を与える
- 記者とベンダーの間の不一致または紛争を伴う
- 到達困難なベンダーや無反応のベンダーを巻き込む
- ソフトウェアのセキュリティと脆弱性の開示が初めてのベンダーまたはセクターに影響を与える
- 記者の匿名性が必要
この脆弱性は、過失、無知、または限られたリソースのために存在する可能性があります。所有者はいつ、どのように問題を解決するかを決定します。決定は彼らの責任であり、あなたの責任ではありません。
脆弱性の証拠をサイトの所有者に開示するために、追加の手順を実行します。
(つまり、彼らがあなたの連絡を受け取っていることを確認します)
満足のいく応答が得られない場合は、この情報を上司に伝えます。
(会社の上位ランク、または親会社)
他の人が言ったように、礼儀正しく専門的である。これはあなたが信頼を得るために役立ちます。最初は人間による簡単な説明(事実のみ)から始め、同じメールに技術的な詳細を含める必要があります。 (会社は返信前に調査結果を確認できます)
すべての手段が失敗した場合は、証拠を担当の公共サービス(CERTが提案した1つのポスター)に渡すことをお勧めしますが、これについては経験がありません。
脆弱性を公開しないでください。
脆弱性を公に開示することが正しい場合もあると思いますが、そのような責任があり、注意深く、偏見のない処理は、そのような問題でより経験のある公共サービスに任せることを強くお勧めします。
lastすべきこと:修正する、答える、または一定の時間内にバグを公開します。
考慮すべきこと: