Задать вопрос
Genome_X
@Genome_X

Сколько стоит ждать ответа при сообщении о наличии уязвимости на сайте?

В общем — вопрос, нашел на сайте одного из крупнейших магазинов XSS (но мне кажется, там не только она), причем филтрации нет вообще нигде, ни в одном из полей. гипотетически можно из нее сделать активную XSS-ку, слишком глубоко я не копал. В контактах не нашел адреса тех поддержки или веб мастера, послал запрос, куда обращаться с найденной уязвимостью, сначала на один мейл куда было рекомендовано отсылать любые запросы, затем через веб-форму обратной связи. Пока ни ответа ни привета. Вопрос — сколько стоит ждать ответа. Намерен был написать небольшую статейку об этой уязвимости с картинками или видео, но не хочу этого делать прежде, чем исправят.
  • Вопрос задан
  • 3219 просмотров
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 7
pnick
@pnick
Телеком инженер
Подождите недельку. Если не ответят — напишите вводную к статье, типа «Написал, предупредил, они забили».
Ответ написан
@ComodoHacker
Если компания не ИТ-профиля, это будет непростой квест.

Для начала ваше описание уязвимости должно дойти до человека, который способен его понять (и может быть среагировать). То есть вам нужно пробиться через первую линию поддержки, вторую линию, их начальство, и бог знает кого еще, вплоть до директора по продажам :) (крайний случай, если с ИТ процессами там все плохо). Поэтому сначала вам придется писать на языке, понятном этим людям. И описывать не уязвимость, а ее возможные последствия для бизнеса. Причем это дложны быть очень конкретные вещи, а не абстрактные понятия. Типа «можно будет выкачать весь каталог с ценами», «получить все email-ы сотрудников», «повесить порнобаннеры» и т.д. Результат первого уровня — контакты админа или разработчика и обязательно руководства.
Дальше уже пишите админу об уязвимости, а руководству — о ситуации в целом, «уведомлены такие-то сотрудники, срок до публикации столько-то дней, проконтролируйте».

Да, быть этичным непросто.
Ответ написан
Комментировать
@lorien
Экий вы нерешительный.
Ответ написан
@bondbig
Если совсем ничего не ответили за неделю — можно публиковать. Если бы ответили, что приняли в работу, то ждать следует до закрытия уязвимости или хотя бы месяц. Мое личное ИМХО.
Ответ написан
Комментировать
AHTOH
@AHTOH
А чего ждете? Если не ответят по контактным адресам, можно просто тихо забыть об уязвимости и продолжать жить спокойно. Вы же не будете беспокоиться о чужом сайте больше, чем сами владельцы этого сайта?

Если же хотите денег срубить на уязвимости, то это палка о двух концах. Если опубликуете и кто-то воспользуется уязвимостью, Вас найдут и будете отвечать, даже если сами ничего не сделали.
Ответ написан
Genome_X
@Genome_X Автор вопроса
Написал по адресу указанному в whois домена (по совету выше), подожду результата, может там почешуться быстрее.
P.S. вообще забавно, как действительно порой непросто сделать добро людям. При таких трудностях порой начинаешь задумываться, на кой чёрт оно вообще нужно, когда перейти на «темную» сторону гораздо проще (хотя переходить не собираюсь)))).
Ответ написан
Genome_X
@Genome_X Автор вопроса
Все, ответ дали, контакт есть. Видео записал, 10 минут продолжительностью, показано как упражнялся с различными веб формами.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы