Сколько стоит ждать ответа при сообщении о наличии уязвимости на сайте?

Question

[Genome_X]

В общем — вопрос, нашел на сайте одного из крупнейших магазинов XSS (но мне кажется, там не только она), причем филтрации нет вообще нигде, ни в одном из полей. гипотетически можно из нее сделать активную XSS-ку, слишком глубоко я не копал. В контактах не нашел адреса тех поддержки или веб мастера, послал запрос, куда обращаться с найденной уязвимостью, сначала на один мейл куда было рекомендовано отсылать любые запросы, затем через веб-форму обратной связи. Пока ни ответа ни привета. Вопрос — сколько стоит ждать ответа. Намерен был написать небольшую статейку об этой уязвимости с картинками или видео, но не хочу этого делать прежде, чем исправят.

Answer 1

[Николай]

Подождите недельку. Если не ответят — напишите вводную к статье, типа «Написал, предупредил, они забили».

Comments

[Genome_X]

Да, скорее всего так и сделаю.

Answer 2

[ComodoHacker]

Если компания не ИТ-профиля, это будет непростой квест.

Для начала ваше описание уязвимости должно дойти до человека, который способен его понять (и может быть среагировать). То есть вам нужно пробиться через первую линию поддержки, вторую линию, их начальство, и бог знает кого еще, вплоть до директора по продажам :) (крайний случай, если с ИТ процессами там все плохо). Поэтому сначала вам придется писать на языке, понятном этим людям. И описывать не уязвимость, а ее возможные последствия для бизнеса. Причем это дложны быть очень конкретные вещи, а не абстрактные понятия. Типа «можно будет выкачать весь каталог с ценами», «получить все email-ы сотрудников», «повесить порнобаннеры» и т.д. Результат первого уровня — контакты админа или разработчика и обязательно руководства.
Дальше уже пишите админу об уязвимости, а руководству — о ситуации в целом, «уведомлены такие-то сотрудники, срок до публикации столько-то дней, проконтролируйте».

Да, быть этичным непросто.

Answer 3

[lorien]

Экий вы нерешительный.

Comments

[Genome_X]

Дело не в нерешительности, а в простой этике. Было бы мне насрать, я бы опубликовал статью сразу же, без возможости саппарту отреагировать, но мне не насрать. Сегодня им помогу я, завтра кто-то поможет мне, возможно даже на моем примере.

[lorien]

Я имел в виду, что вы не можете решить сколько ждать, в этом и нерешительность.
На мыло в whois домена писали?

Answer 4

[Sergey]

Если совсем ничего не ответили за неделю — можно публиковать. Если бы ответили, что приняли в работу, то ждать следует до закрытия уязвимости или хотя бы месяц. Мое личное ИМХО.

Answer 5

[AHTOH]

А чего ждете? Если не ответят по контактным адресам, можно просто тихо забыть об уязвимости и продолжать жить спокойно. Вы же не будете беспокоиться о чужом сайте больше, чем сами владельцы этого сайта?

Если же хотите денег срубить на уязвимости, то это палка о двух концах. Если опубликуете и кто-то воспользуется уязвимостью, Вас найдут и будете отвечать, даже если сами ничего не сделали.

Comments

[menraen]

За что он будет отвечать?!

Захожу в магазин техники и вижу что у них дырка в окне сквозная в торговый зал. Обращаюсь к сотруднику магазина и показываю дырку — сотрудник отмахивается. Вернувшись домой звоню в контакт-центр магазина — там вечное «занято». Наконец пишу данном факте в свой уютный бложик (вариант — в заводскую многотиражку) и успокаиваюсь.

Внимание — вопрос: если из этого магазина вынесут всё содержимое — буду ли я отвечать за это?

[Genome_X]

Написал по адресу указанному в whois домена (по совету выше), подожду результата, может там почешуться быстрее.
P.S. вообще забавно, как действительно порой непросто сделать добро людям. При таких трудностях порой начинаешь задумываться, на кой чёрт оно вообще нужно, когда перейти на «темную» сторону гораздо проще.

[AHTOH]

Будет отвечать как пособник совершению преступления. Возможно даже в качестве организатора пойдет. Это зависит от того, как прокурор обставит мотивы помещения этой информации «в свой уютный бложик».
Публикация информации о дырах, это все равно что опубликовать информацию, что дверь в кассу остается не запертой во время обеденного перерыва и «заходи кто хочет, бери что хочет».

Ответьте на вопрос — Зачем нужно публиковать?
И все встанет на свои места.

Answer 6

[Genome_X]

Написал по адресу указанному в whois домена (по совету выше), подожду результата, может там почешуться быстрее.
P.S. вообще забавно, как действительно порой непросто сделать добро людям. При таких трудностях порой начинаешь задумываться, на кой чёрт оно вообще нужно, когда перейти на «темную» сторону гораздо проще (хотя переходить не собираюсь)))).

Comments

[Genome_X]

Капец, на разных сайтах по whois разные контактные данные указаны. OMG!

Answer 7

[Genome_X]

Все, ответ дали, контакт есть. Видео записал, 10 минут продолжительностью, показано как упражнялся с различными веб формами.

Comments

[AHTOH]

Просто спасибо от меня лично, что сделали доброе дело.