Search the Community

Am vrut sa fac un share la cateva sfaturi care le-am invatat pe parcus , pentru intocmirea unui raport de vulnerabilitate. Ma adreses doar persoanelor care vor sau au facut aceasta actiune. Sa luam un exemplu : Adresa : shop.domain.biz Vulnerabilitate: XSS in "index.php?search=" Metoda de raport: email Nu folosesc un standard,dar in general incerc sa il fac cat mai simplu: Subiectul: Nota: Subiectul este unul simplu,nu trebuie incarcat cu informatii inutile. Raportul: Nota: 1) Daca doriti sa scrieti ceva despre dumneavoastra,puteti sa scrieti in semnatura ,in genul: Daca ati trimis la un site care are HoF (Hall of Fame) o sa vina un reply cu: -Daca doriti ca numele dumneavoastra sa apara in HoF-ul lor -Numele dumneavoastra -Numele companiei in cadrul caruia lucrati -Adresa web a companiei respective 2) Daca folositi un email care are alt nume decat al vostru , o probabilitate este sa il folosesca numele extras din email la reply . (Da,s-a intamplat acest lucru ). 3) Daca doriti sa valideze mult mai repede raportul , incercati sa gasiti departamentul in clauza , cat si un email al unui Chief si il puneti in "BCC" 4) Sa nu asteptati sa primiti un reply in scurt timp,dar la "firmele" mari in jur de o saptamana (in functie de vulnerabilitate si in ce domeniu este) pana cand il valideaza si il redirectioneaza catre departamentul in clauza. 5) Exploitul/bug-ul trebuie testat/executat intr-un mediu controlat de dumneavoastra care nu are tangenta cu alti utilizatori sau sa malformeze buna desfasure a site-ului pe o periodata foarte lunga . Daca nu aveti un email la care sa trimiti un raport,puteti sa folositi si "Contact form"-ul lor ,dar: -Cand introduceti vectorul in raport pentru demonstratie,s-ar putea sa il filtreze/scoata din email (ex: Vodafone,cand am primit un reply , vectorul din raport era filtrat/scos) -O probabilitate mica este scoaterea aliniatelor (caz real la eBay) si distruge aspectul comercial. -Puteti primi un email de confirmare pentru instiintarea ca a fost primit sau trimis la un departament Alte aspecte: Dupa cum a-ti observat raportul este scris in engleza deoarece sunt mai multe sanse sa prezinta cineva interes si sa inteleaga problema din exteriorul Romaniei . Dupa cum a reamintit Andrei Avadanei , nu toti au aceasi idee cand primesc un asemenea raport, servicile cu care am colaborat erau "HoF"-uri sau programe gen "Bug Bounty" . La restu nu am primit nici un fel de multumire dar nici nu am asteptat la asa ceva,dar posibil sunt "firme" care vad un atac prin acest email . Daca credeti ca instiintarea dumneavoastra poate sa aiba efecte negative , sunt si alte metode. Daca aveti alte informati ,precum: intrebari/intamplari/opini/alte rapoarte, la care puteti sa da-ti un "share" pentru comunitate , aveti ocazia prin acest thread. Update #1: -In cazul in care colaborati cu firme care are programul de Bug Bounty activ ,din strainatate (gen Google) si va cere formularul W-8BEN , pentru a va tranfera bani, se va completa astfel: Optional: Printati formularul , il completati citabil , il scanati si il trimiteti. Update #2: -In cazul "Bug Bounty"-ul de la PayPal , contul poate sa aiba si statusul de "Unverified" ATENTIE! Este important sa stiti ca transferul de bani se face in email-ul prin care ati trimis raportul , deoarece nu iti vor cere email-ul in care doriti sa va transfera bani. Update #3: -Daca gasiti ceva in att.com , raportul dumneavoastra nu este luat in considerare daca nu sunteti inregistrati in programul "AT&T Developer API Program" , care costa 99$ Am avut tangenta ,dar nimic confirmat nici un fel de feedback. Recent am aflat ca trebuie sa fiu inscris in programul respectiv ca sa imi valideze rapoartele Va multumesc pentru atentia acordata!