ehd Posted October 21, 2013 Report Posted October 21, 2013 (edited) 1.Cum pot raporta o vulnerabilitate printr-un post pe acest forum, vulnerabilitate ce exista pe alt site din romania si pe care am descoperit-o intamplator, dar fara sa atrag consecinte posibile negative, stiind ca baza de date a acestui forum a ramas neschimbata si deja se afla la investigatii la DIICOT si SRI,FBI, eu folosesc aceeasi parola pe contul vechi...trebuie sa imi fac altul? sau cum sa procedez sa postez la ClubShowOff fara sa risc ceva?2.Este mai bine sa imi vad de treaba fara sa postez aici la ClubShowOff ? Edited October 21, 2013 by ehd Quote
Birkoff Posted October 21, 2013 Report Posted October 21, 2013 raportarea vulnerabilitatilor se face la firma sau adminul acelui site, aici doar te lauzi cu ce ai gasit (dupa ce ai raportat vulnerabilitatea). Quote
ehd Posted October 21, 2013 Author Report Posted October 21, 2013 (edited) raportarea vulnerabilitatilor se face la firma sau adminul acelui site, aici doar te lauzi cu ce ai gasit (dupa ce ai raportat vulnerabilitatea).raportarea la admin/contact pe acel site nu poate sa iti aduca necazuri? pentru ce este rubrica aici pe forum si cum pot posta acolo fara sa fiu tras la raspundere?cei din membrii staff-ului trebuie sa ne invete lucrurile acestea Edited October 21, 2013 by ehd Quote
sebywarlord Posted October 21, 2013 Report Posted October 21, 2013 (edited) Edit: scuze,nu am inteles eu bine ce ai scris! Edited October 21, 2013 by sebywarlord Quote
Birkoff Posted October 21, 2013 Report Posted October 21, 2013 (edited) legal, trebuie sa ceri aprobarea firmei/adminului acelui site inainte sa faci pentesting sau audit de securitatealtfel, intr-adevar poti avea probleme.daca ai gasit o vulnerabilitate la acel site, recomandarea e sa o raportezi fara sa ceri nimic in schimb, daca vezi ca ei sunt ok, le poti sugera sa le faci un audit complet contra unei recompense, daca ei nu sunt ok, cat timp nu profiti de acea vulnerabilitate (in nici un fel) atunci nu au ce sa iti faca.gandeste-te la problema asta ca la urmatoarea situatie:un site/aplicatie poate fi comparata cu o casa. tu treci pe langa ea (vizitezi site-ul) si vezi o fereastra deschisa (gasesti o vulnerabilitate). suni la usa si le spui proprietarilor ca ai vazut o fereastra deschisa si ca recomanzi sa o inchida (le trimiti mail in care le raportezi vulnerabilitatea fara sa le ceri nimic in schimb si recomandari despre cum o pot rezolva). Daca proprietarii sunt ok, iti vor multumii si atunci tu le poti propune un audit de securitate gratuit sau contra unei recompense. Daca ei fac nazuri (problema lor) tu esti ok, pentru ca nu ai profitat de vulnerabilitate si le-ai semnalat problema sugerandu-le totodata metode de rezolvare. ATENTIE! Pot apare probleme (legale) daca ei fac nazuri si tu ai raportat vulnerabilitatea (ai facut-o publica pe forumuri) inainte sa o rezolve ei (sau fara sa primesti acordul lor). Treaba ta ca white-hack e sa le raportezi problema si sa le sugerezi o rezolvare fara sa astepti nimic in schimb.De asemenea, recomand sa citesti si TOS-ul public de pe acel site/aplicatie si vezi daca se trateaza intr-un fel gasirea sau testarea de vulnerabilitati (pe site-urile mari e o sectiune speciala pentru asta care trateaza atat problemele legale cat si modul de raportare a problemelor) Edited October 21, 2013 by Birkoff Quote