web-dev-qa-db-ja.com

ゼロデイ脆弱性を発見したと思われる場合はどうしますか? (白帽子風)

誰かがゼロデイ脆弱性を発見しましたか?

そのような情報をディープウェブで売っているブラックハットハッカーもいることは知っています。しかし、あなたが白い帽子なら...

  • 実行する手順は?
  • CVEがあなたの名前でリリースされていることを保証する方法は?この管理は誰が担当しますか?

ありがとうございました。

4
OscarAkaElvis

私自身、私はベンダーに脆弱性について通知しましたが、彼らはそれに同意しなかったので、exploit-dbとtorでそれを開示しました:)そして1か月後に、彼らはそれを修正しました

もしあなたがそれを白い帽子のハッカーのスタイルで欲しければ、

1.所有者/ベンダーに連絡し(メールで送信)、脆弱性を説明します。脆弱性のパッチが作成されます。

2.CVEで公開できます: https://cve.mitre.org/cve/cna.html Webサイトで指定されている方法に従います

黒い帽子のハッカースタイル

1. Torブラウザで販売する

2.これをexploit-dbで公開します: https://www.exploit-db.com/

3.エクスプロイトハブで販売する: https://blog.exploithub.com/

4. ZDIで販売する: http://www.zerodayinitiative.com/

0
Ekalavya

このテーマ専用のISOがあります https://www.iso.org/standard/45170.html

影響を受けるベンダーと協力して、妥当な時間内に問題を解決する時間を与えることが一般的に認められています。 Googleプロジェクトゼロは、ベンダーへの最初の開示から修正まで90日間のスタンスをとり、その時点から完全に開示します。

5
Greg