Foro de elhacker.net

Seguridad Informática => Nivel Web => Mensaje iniciado por: Crazy.sx en 2 Noviembre 2013, 23:45 pm



Título: ¿Cómo redactar un reporte de una vulnerabilidad web?
Publicado por: Crazy.sx en 2 Noviembre 2013, 23:45 pm
Bueno, he encontrado varios errores en algunos sitios web utilizando un escaner de vulnerabilidades, y los he testeado y puedo acceder al panel de control sin problemas (Vulnerabilidad Inyeccion SQL); y algunos de XSS y quisiera reportarlos.

Mi pregunta es: ¿cómo comunico estos errores? ¿Qué cosas debo decir en el reporte?

He estado viendo en http://foro.elhacker.net/nivel_web/recopilatorio_de_vulnerabilidades_de_xsssqlinjection-t220843.0.html que se han hecho reportes pero de forma pública, pero ¿algo así debería hacerlo?

Si me pudieran poner algun ejemplo u orientarme me vendría bárbaro. Tal vez, no solo a mí me sirva  :P

Saludos y gracias.


Título: Re: ¿Cómo redactar un reporte de una vulnerabilidad web?
Publicado por: karmany en 3 Noviembre 2013, 23:33 pm
Lo primero que deberías hacer es reportar dicha vulnerabilidad al administrador del sitio web expuesto. No publiques la vulnerabilidad antes de que sea corregida.

Lo más normal (porque hay de todo) es que el administrador corrija la fallo, te de las gracias y que luego publiques el error en este foro, pero no antes.

Solo es mi opinión...


Título: Re: ¿Cómo redactar un reporte de una vulnerabilidad web?
Publicado por: Crazy.sx en 4 Noviembre 2013, 00:56 am
Lo primero que deberías hacer es reportar dicha vulnerabilidad al administrador del sitio web expuesto. No publiques la vulnerabilidad antes de que sea corregida.

Lo más normal (porque hay de todo) es que el administrador corrija la fallo, te de las gracias y que luego publiques el error en este foro, pero no antes.

Solo es mi opinión...

Claro, no lo hice público todavía hasta que sepa que el fallo está corregido.

Al final, puse el tipo de vulnerabilidad y las URL con los php en donde están los errores y avisar que en algunos sitios, los datos de usuarios, no estaban cifrados. No se si debía escribir algo más.

Ahora estoy aprendiendo a cómo corregir estos problemas para así poder dar una sugerencia más si es necesario, pero hasta el momento me limito a avisar.

Bueno, a esperar a ver si responden, de lo contrario... no pasa nada jeje, todo bien.

Muchas gracias por tu respuesta.

Saludos.