Задать вопрос

Как объяснить фирме, что их сайт содержит критическую уязвимость?

На одном крупном сайте нашел уязвимость, позволяющую анонимному пользователю разместить произвольный JS-код. На письмо об уязвимости мне ответили, что (цитата) «Опасность крайне незначительна.». Как объяснить сотруднику (видимо) отвечающему за сайт, что опасность значительна, и что JS-код выполняющийся на клиентской стороне позволяет практически всё что угодно?!
  • Вопрос задан
  • 4996 просмотров
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 14
@artishok
кратко
Повесьте заглушку о том, что сайт на ремонте
Ответ написан
Комментировать
@leon_ti
Вступить в сговор с каким-нибудь сотрудником Яндекса и написать уведомление о возможном включении сайта в черный список из-за опасной уязвимости и исключении его из поисковой выдачи :)
Ответ написан
RusMikle
@RusMikle
Программист
позвоните его шефу и продемонстрируйте
Ответ написан
proDOOMman
@proDOOMman
Отправьте им ссылку на этот вопрос. А мы пока веселых вариантов эксплуатации дырки накидаем.
Ответ написан
Комментировать
@DenKrep
А у ресурса нету никакого контакта а-ля support@resource.xyz? Написать туда, что " наткнулся тут у вас на критическую уязвимость, которую злоумышленники могут использовать для получения неправомерного доступа к чему-там-вы-нашли. В порядке акта доброй воли и благих намерений, могу предоставить детальную техническую информацию — пишите / звоните — вот мой контакт. Вознаграждение за предоставленную информацию будет приветствоваться, но не является обязательным."
Ответ написан
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
Напишите им, что если не закроют дырку, то кто-то пошутит, добавит JS, открывающий сайт 18+, после чего всё ихнее СМИ на территории РФ отправится в бан по известному закону после репорта шутника.
Как один из вариантов дальнейшего развития событий.
Ответ написан
Комментировать
Нельзя людей насильно сделать счастливыми. Если не имеете там какого-либо интереса, просто забейте. Рано или поздно кто-нибудь эту уязвимость найдёт и использует, но это будет уже совсем другая история. Вы же их предупредили, значит и совесть ваша чиста.
Ответ написан
Комментировать
SLY_G
@SLY_G
журналист, переводчик, программист, стартапщик
Баннер свой поставьте там, заработайте денег и бегите.
Ответ написан
dutchakdev
@dutchakdev
Часто это лучше продать чем получить люлей за помощь.
Ответ написан
@bondbig
Подобные посты и вопросы мне неизменно напоминают классику:
День первый
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: «Я, meG@Duc, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!»

День второй
Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: «Кому этот бред только в голову пришёл?»

День пятый
Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и, в конце концов, оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле «ну что, видали?».
Ответ написан
Комментировать
ArtStudio3D
@ArtStudio3D
Таки продемонстрировать. Но так, что бы не УК РФ.
Ответ написан
dpigo
@dpigo
Front-end developer
Сделайте скринкаст с proof of concept и отправьте в техподдержку.
Ответ написан
Комментировать
@noonesshadow
let it be — забейте
Ответ написан
Комментировать
bugaga0112358
@bugaga0112358
Если этот сайт не приносит денег, а выявленная уязвимость не наносит репутационных ударов и т.п., то вам вполне правильно ответили, что «опасность крайне незначительна», имея ввиду опасность для бизнеса :)

Если же реализация найденной вами уязвимости может привести бизнес к потерям, и вы очень хотите достучаться до бизнеса, то необходимо стучать тем, кто в этой компании с помощью этого сайта делает деньги. И выражать свои мысли нужно в денежном эквиваленте: не в эфемерных «код, выполняющийся на стороне клиента, позволяет практически все», а в ощутимых «я знаю слабое звено вашего бизнеса, способное привести к потерям в X баксов с вероятностью в Y%».
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы