¿Cómo redactar un reporte de una vulnerabilidad web?

Iniciado por Crazy.sx, 2 Noviembre 2013, 23:45 PM

0 Miembros y 2 Visitantes están viendo este tema.

Crazy.sx

Bueno, he encontrado varios errores en algunos sitios web utilizando un escaner de vulnerabilidades, y los he testeado y puedo acceder al panel de control sin problemas (Vulnerabilidad Inyeccion SQL); y algunos de XSS y quisiera reportarlos.

Mi pregunta es: ¿cómo comunico estos errores? ¿Qué cosas debo decir en el reporte?

He estado viendo en http://foro.elhacker.net/nivel_web/recopilatorio_de_vulnerabilidades_de_xsssqlinjection-t220843.0.html que se han hecho reportes pero de forma pública, pero ¿algo así debería hacerlo?

Si me pudieran poner algun ejemplo u orientarme me vendría bárbaro. Tal vez, no solo a mí me sirva  :P

Saludos y gracias.
Destruir K. LOL

karmany

Lo primero que deberías hacer es reportar dicha vulnerabilidad al administrador del sitio web expuesto. No publiques la vulnerabilidad antes de que sea corregida.

Lo más normal (porque hay de todo) es que el administrador corrija la fallo, te de las gracias y que luego publiques el error en este foro, pero no antes.

Solo es mi opinión...

Crazy.sx

Cita de: karmany en  3 Noviembre 2013, 23:33 PM
Lo primero que deberías hacer es reportar dicha vulnerabilidad al administrador del sitio web expuesto. No publiques la vulnerabilidad antes de que sea corregida.

Lo más normal (porque hay de todo) es que el administrador corrija la fallo, te de las gracias y que luego publiques el error en este foro, pero no antes.

Solo es mi opinión...

Claro, no lo hice público todavía hasta que sepa que el fallo está corregido.

Al final, puse el tipo de vulnerabilidad y las URL con los php en donde están los errores y avisar que en algunos sitios, los datos de usuarios, no estaban cifrados. No se si debía escribir algo más.

Ahora estoy aprendiendo a cómo corregir estos problemas para así poder dar una sugerencia más si es necesario, pero hasta el momento me limito a avisar.

Bueno, a esperar a ver si responden, de lo contrario... no pasa nada jeje, todo bien.

Muchas gracias por tu respuesta.

Saludos.

Destruir K. LOL