Стоит ли сообщать владельцу сайта об уязвимости XSS?

Question

[Руслан Добриогло]

Всем привет. Я нашёл уязвимость XSS на чужом сайте.
На одной странице есть поле ввода текста, а на другой отображается последнее, что вводили пользователи. Я ввёл безобидный
<script>alert('XSS')</script>
Не знаю, сколько людей заходят на страницу, уязвимой к XSS, но я думаю, что такие есть, так как на эту страницу есть ссылка в футере сайта. Сайт не очень популярный, но на него иногда заходят люди.
Может ли быть наказание за нахождение XSS уязвимости? Стоит ли сообщать о ней владельцу сайта? ( Владельца домена я нашёл через whois )

Comments

[Михаил]

Сообщи

[Руслан Добриогло]

Михаил, спасибо за ваш ответ. Пока подожду ещё других ответов.

[Михаил]

Руслан Добриогло, На то, чтоб перейти дорогу вы тоже ответов ждете?
Сообщи владельцу о проблеме, если ему пофигу то наплюй на него

[Руслан Добриогло]

Михаил, спасибо, тогда сообщу.

[Therapyx]

Странный вопрос. Это тоже самое, что если ты найдешь кошелек на полу без денег. Как бы и не поимеешь ничего, но помочь человеку спокойно можешь, по визитке, которая лежит в нем.
Ты можешь выкинуть этот кошелек на пол и пойти дальше или можешь позвонить владельцу и сказать о находке.

Я не думаю, что такой сайт как ты нашел - это цель, где можно наживиться. Скорее всего будет или игнор или спасибо или маленькая благодарность.

[Руслан Добриогло]

Therapyx, спасибо за ваш ответ.

[CityCat4]

Therapyx, Сразу видно - не жил в 90-е. Лежащий на земле кошелек с небольшой суммой денег - это старинный развод, которому лет столько же примерно сколько мне :)

[Therapyx]

CityCat4, к сожалению ни в 90, ни в 00е, ни в 10е - мне так и не повезло найти хоть 1 кошелек xD

[Therapyx]

John Smith, я очень надеюсь, что автор делая такие вещи - как минимум анимизирует свои действия. Если же нет... "F" - на его страх и риск )

[Руслан Добриогло]

CityCat4, Вы правы, я не жил в 90-е :)

[Руслан Добриогло]

Therapyx, я как раз собираюсь сообщать анонимно.

[CityCat4]

Therapyx, Я однажды находил, но это было не в 90-е, а наверное еще в глубоком детстве. Но там ничего не было :)

[CityCat4]

John Smith, Обычно фейс поправить грозят :) до ментовки дело не доводят

[Therapyx]

CityCat4, видимо кто-то нашел уже его до тебя ахахах))

[CityCat4]

Therapyx, Логично :)

Answer 1

[CityCat4]

Можно и сообщить, если не боишься, что тебя же во взломе и обвинят. Интернет - давно уже не "дружественная среда". Если это задрипанный инди-сайт - тогда скорее всего поблагодарят. Если это жирный сайт с репутацией и деньгами - лучше не соваться.

Comments

[Руслан Добриогло]

Спасибо за ваш ответ. Тогда буду сообщать анонимно.

Answer 2

[DevMan]

стоит вообще об этом спрашивать?
хотите помочь? сообщайте.
не хотите? к чему вопрос вообще?

Comments

[Руслан Добриогло]

Я хотел узнать, может ли быть наказание за нахождение XSS. Просто пока на странице всё ещё появляется мой alert

[MagicMight]

Руслан Добриогло, ну, технически, доступ к данным ты не получил, ничего не скомпрометировал.
Да, натягиванием совы на глобус тут можно притянуть распространение вредоносного кода. А что, логику клиентского приложения же оно нарушает? Нарушает. Согласие автора было? Не было.

Можешь сообщить на свой страх и риск. Вряд ли кого-то будет сильно беспокоить такая уязвимость. Если хочется и сообщить и страшно - найди контакты и напиши через впн+протон и тд

[Руслан Добриогло]

MagicMight, большое спасибо за ваш ответ.

Answer 3

[Alexander Moskvin]

Наказания за обнаружение уязвимости нет. Но и пряника, скорее всего, не получите. За исключением очень небольшого списка компаний, у которых есть bug-hunting программы. Но у них XSS уязвимостей уже нет