Salve, volevo sapere in che sezione postare (e se è permesso dalla legge italiana e dal regolamento del forum) eventuali vulnerabilità su siti web o server.
Sezione Leaks?
Sezione Leaks?
Follow along with the video below to see how to install our site as a web app on your home screen.
Nota: This feature may not be available in some browsers.
Esattamente come funziona questo fatto del CVE ??Ciao,
l'unica cosa che posso dirti è come in genere gestiamo questo tipo di situazioni a lavoro. Generalmente, ogni azienda proprietaria del sito/server in questione dovrebbe avere una policy legata alla responsible disclosure, se così non fosse devi contattarli chiedendo informazioni in merito. Qualora l'azienda non risponda, puoi farti assistere dal CVE, che in genere media fra l'azienda e il tester (oltre ad assegnare un numero identificativo di vulnerabilità ed eventualmente concordare una data per la full disclosure)
Se e' per questioni di tempo, a me su alcune piattaforme BB ci hanno messo anche 6 mesi .........http://cve.mitre.org/cve/request_id
Qui c'è tutta la procedura da seguire; a me non è capitato mai che le aziende non rispondessero per fortuna, ad altri colleghi invece si - non vorrei dire fesserie, ma credo che gli sia stato consentito di andare in full disclosure dopo un tempo che andava dalle 2 settimane ai 2 mesi
Scusate l'ignoranza, ma cosa si guadagna con i CVE?http://cve.mitre.org/cve/request_id
Qui c'è tutta la procedura da seguire; a me non è capitato mai che le aziende non rispondessero per fortuna, ad altri colleghi invece si - non vorrei dire fesserie, ma credo che gli sia stato consentito di andare in full disclosure dopo un tempo che andava dalle 2 settimane ai 2 mesi
Se e' per questioni di tempo, a me su alcune piattaforme BB ci hanno messo anche 6 mesi .........
Comunque grazie infinite per le indicazioni
Scusate l'ignoranza, ma cosa si guadagna con i CVE?
A me più che i soldi vorrei interesserebbe qualcosa da inserire nel curriculum o portfolio per poter intraprendere una carriera nel settore della sicurezza informatica.
E di che, ormai lo sai che mi piace avere questo tipo di conversazioni con voi
Nessun problema, effettivamente la cosa non è molto intuitiva; il CVE ti serve come garanzia innanzitutto, sia perchè così la vulnerabilità è tua e non mia, sia perchè CVE si fa anche da garante nel momento in cui c'è da stabilire la data del full disclosure, soprattutto nel momento in cui l'azienda si rende irreperibile. Inoltre è un'ottima aggiunta per il curriculum/portfolio, visto che è ciò che ti interessa: io potrei dirti di aver trovato uno 0-day nel sito della NASA, ma come lo dimostro? Nella stessa maniera in cui gli istituti che rilasciano certificazioni ti danno una licenza da mostrare al datore di lavoro per potergli far verificare che tu sia effettivamente certificato, il CVE ti permette di dimostrare che la vulnerabilità associata al codice è tua e solo tua.
Innanzitutto grazie per il chiarimento. Mi hai aperto un mondo.
Grazie per avermi indirizzato nel verso giusto, approfondirò l'argomento perché mi interessa molto.
Un'ultima domanda: si può procedere col CVE quando ad esempio trovo vulnerabilità su un sito di una determinata azienda (vulnerabilità già "scoperte" intendo, tipo dovute a determinati plugin di wordpress non aggiornati)?