Jak se správně nahlašovat zranitelnosti?

Polki
Člen | 553
+
+4
-

Ahoj, chci se zeptat, jak postupovat v případě, že narazíte na web, kde jsou zranitelnosti?

Začalo se totiž na české scéně objevovat kvantum nových (a bohužel i stávajících) webů, které jsou zranitelné, ale majitelé to buď neví, nebo to neřeší.

Dosud jsem měl postup takovýto:

  1. Narazím na web v Nette
  2. Zjistím, že je zranitelný, nebo má nějaké chyby
  3. Zkusím si zobrazit soubor security.txt
  4. Pokud soubor neexistuje, zkusím najít meta author
  5. Pokud ani ten neexistuje, zkusím najít, kdo registroval doménu
  6. No a poslední možnost je najít na stránkách sekci kontakt a napsat na podporu stránky

A mám k tomu 2 otázky:

  1. Je tento můj postup nahlašování chyb správný?
  2. Co dělat v případě, že jsem nenašel kontakt na autora a nahlásil chybu tedy pomocí bodu 6 a to 4× během posledních 16 měsíců a pořád nikdo tu chybu neopravil ani nereagoval?

Editoval Polki (10. 12. 2021 2:32)

Václav Pávek
Backer | 96
+
+2
-

Myslím, že jsi udělal maximum. Postupuji stejně.

Ještě je dobré hledat soubor humans.txt – linkuje se v hlavičce, případně většinou na /humans.txt.