假设您最近在几个主要在您所在国家/地区激活且在其市场中非常强大的网站中发现了一些主要漏洞.我正在谈论的漏洞比让我使用超级管理员权限浏览管理界面更糟糕.
你现在会做什么?我想的是:
向公司报告问题.
公开宣布这些应用程序中存在安全漏洞,但未披露实际漏洞.
让公司有时间解决问题.(多少?)
问题解决后,或修复的宽限期已过(以先到者为准),请充分披露漏洞.
你们有什么感想?您是否有一些材料可以阅读或分享经验?
谈论.至.律师.
这可能会变得很粘,具体取决于公司.通过说"在我宣布利用之前你有xx天来解决这个问题",你基本上是在说"做我期望的事情,否则我会让你感到悲伤".
另一个问题是,你是怎么发现这个的?您是否正常使用该网站,或者您是否看到了该漏洞的可能性并决定查看它是否有效?记住这一点非常重要,特别是如果您正在考虑设置时间限制来解决问题.我不确定法律规定你居住的地方,所以请和那些做过的人交谈.
你最终可能会得到他们的感谢,一些现金用于进入NDA(毕竟,你确实浏览了管理界面),你可能会获得安全行业的一些信任.但是,要非常非常小心,并尝试寻求律师的建议.
我认为你走在正确的轨道上.
在这种情况下的一般趋势是向该公司提交错误报告,并根据问题的严重性和修复所需的时间估计给他们一些时间.在此之后,如果公司没有另外要求您(保费?),通常会有完整的披露.
但是,如果公司没有及时回复您/不承认您有权(我相信)发布您的结果以获得更大的利益.
无论您选择做什么,都要保持与公司沟通的正确记录.这可能有助于避免不可预见的情况.
京公网安备 11010802040832号 | 京ICP备19059560号-6 