web-dev-qa-db-ja.com

開発者がそれを無視した後、脆弱性をどこに公開するか?

脆弱性を発見し、ウェブサイト/アプリの開発者に公開した場合、どのように公開しますか?

this で推奨されているように、問題に対処するために十分な時間を開発者に与えました。潜在的なユーザーに警告するために、私は今、公に開示すべきであると知っていますが、これをどこでどのように行うべきですか?

7
Academiphile

CERTに参加してみることができます。 https://vulcoord.cert.org/VulReport/

次の場合、レポートを受け入れる可能性が高くなります。

  • 技術的に正確で、十分に詳細で、合理的に完全である
  • 複数のベンダーに影響を与える
  • 安全性または重要なインフラストラクチャに影響を与える
  • 記者とベンダーの間の不一致または紛争を伴う
  • 到達困難なベンダーや無反応のベンダーを巻き込む
  • ソフトウェアのセキュリティと脆弱性の開示が初めてのベンダーまたはセクターに影響を与える
  • 記者の匿名性が必要
8
Iraklis

この脆弱性は、過失、無知、または限られたリソースのために存在する可能性があります。所有者はいつ、どのように問題を解決するかを決定します。決定は彼らの責任であり、あなたの責任ではありません。

  1. 脆弱性の証拠をサイトの所有者に開示するために、追加の手順を実行します。
    (つまり、彼らがあなたの連絡を受け取っていることを確認します)

  2. 満足のいく応答が得られない場合は、この情報を上司に伝えます。
    (会社の上位ランク、または親会社)

他の人が言ったように、礼儀正しく専門的である。これはあなたが信頼を得るために役立ちます。最初は人間による簡単な説明(事実のみ)から始め、同じメールに技術的な詳細を含める必要があります。 (会社は返信前に調査結果を確認できます)

すべての手段が失敗した場合は、証拠を担当の公共サービス(CERTが提案した1つのポスター)に渡すことをお勧めしますが、これについては経験がありません。

脆弱性を公開しないでください。

  • これにより、意図が不十分な個人による攻撃が成功する可能性があります。
  • 多くの管轄区域では、企業があなたの立場にある個人に課すことができる法的結果があります。
  • このような公開は、攻撃者と防御者の間の責任のバランスの悪さを助長する可能性があります。

脆弱性を公に開示することが正しい場合もあると思いますが、そのような責任があり、注意深く、偏見のない処理は、そのような問題でより経験のある公共サービスに任せることを強くお勧めします。

4
Bryan Field

lastすべきこと:修正する、答える、または一定の時間内にバグを公開します。

考慮すべきこと:

  • 十分な時間が経過したことを確認してください
  • それらに再度連絡し、危険性やシミュレーション方法などを説明するPoCがメールに含まれていることを確認し、バグを悪用した小さなビデオを作成します。
  • 悪意はないことを明示的に伝え、個人情報(メールアドレス、名前)を残してください。
  • 責任ある開示ポリシーにより、数週間でバグを公開することを余儀なくされたとしましょう。メンション:期限は「それから修正する必要がある」と言うのではなく、「それまでに修正を始める必要がある」と言うことです。
  • 次の返信でバグ報奨金/報酬について話します。それらをプッシュしないでください。
  • 彼らが使用している電話やソーシャルメディアを試しますか?
  • 親しみやすく、明確で、専門的である。
0
O'Niel