Стоит ли сообщать владельцу сайта об уязвимости XSS?
Всем привет. Я нашёл уязвимость XSS на чужом сайте.
На одной странице есть поле ввода текста, а на другой отображается последнее, что вводили пользователи. Я ввёл безобидный <script>alert('XSS')</script>
Не знаю, сколько людей заходят на страницу, уязвимой к XSS, но я думаю, что такие есть, так как на эту страницу есть ссылка в футере сайта. Сайт не очень популярный, но на него иногда заходят люди.
Может ли быть наказание за нахождение XSS уязвимости? Стоит ли сообщать о ней владельцу сайта? ( Владельца домена я нашёл через whois )
Странный вопрос. Это тоже самое, что если ты найдешь кошелек на полу без денег. Как бы и не поимеешь ничего, но помочь человеку спокойно можешь, по визитке, которая лежит в нем.
Ты можешь выкинуть этот кошелек на пол и пойти дальше или можешь позвонить владельцу и сказать о находке.
Я не думаю, что такой сайт как ты нашел - это цель, где можно наживиться. Скорее всего будет или игнор или спасибо или маленькая благодарность.
Therapyx, Сразу видно - не жил в 90-е. Лежащий на земле кошелек с небольшой суммой денег - это старинный развод, которому лет столько же примерно сколько мне :)
Можно и сообщить, если не боишься, что тебя же во взломе и обвинят. Интернет - давно уже не "дружественная среда". Если это задрипанный инди-сайт - тогда скорее всего поблагодарят. Если это жирный сайт с репутацией и деньгами - лучше не соваться.
Руслан Добриогло, ну, технически, доступ к данным ты не получил, ничего не скомпрометировал.
Да, натягиванием совы на глобус тут можно притянуть распространение вредоносного кода. А что, логику клиентского приложения же оно нарушает? Нарушает. Согласие автора было? Не было.
Можешь сообщить на свой страх и риск. Вряд ли кого-то будет сильно беспокоить такая уязвимость. Если хочется и сообщить и страшно - найди контакты и напиши через впн+протон и тд
Наказания за обнаружение уязвимости нет. Но и пряника, скорее всего, не получите. За исключением очень небольшого списка компаний, у которых есть bug-hunting программы. Но у них XSS уязвимостей уже нет