Como reportar vulnerabilidades
Ya sea que encontremos un bug/error de pura casualidad o investigación y logremos detallar los pasos de como lo descubrimos y/o realizamos en ese momento podremos dar reporte a la falla.
Dependiendo de esto ultimo procederemos o no y trataremos de ver si versiones anteriores son vulnerables también.
Denegación de Servicio
Es el mas común, generalmente no pasaremos de hacer que la aplicación deje de funcionar
Consumo de recursos
Si no deja de funcionar, podremos causar algún consumo adicional de memoria y/o microprocesador
Ejecución de Código
Es lo que se busca en la mayoría de las veces, si logramos insertar código y ejecutarlo el sistema podría estar totalmente comprometido
Revelado de información
En dado caso podríamos revelar información que se supone que no deberíamos de poder ver.
Algun Error menor
Se podría dar la situación en la simplemente sobrescribamos alguna variable menor. Solo por mencionar algún ejemplo.
Cabe mencionar que muchas veces el bug no sera parcheado o puede tardar mucho.
Formato sugerido para el reporte de bug
Generalmente estos se reportan en texto plano.
La mayoría de lista de correo esperan no mas de 80 caracteres por fila.
Organización y Secciones recomendadas
La organización de dichas secciones puede variar y por su puesto que estas se reportan en ingles.
--
- Anon
- El primer paso es delimitar el alcance de la falla.
Dependiendo de esto ultimo procederemos o no y trataremos de ver si versiones anteriores son vulnerables también.
- Medir el impacto de la falla
Denegación de Servicio
Es el mas común, generalmente no pasaremos de hacer que la aplicación deje de funcionar
Consumo de recursos
Si no deja de funcionar, podremos causar algún consumo adicional de memoria y/o microprocesador
Ejecución de Código
Es lo que se busca en la mayoría de las veces, si logramos insertar código y ejecutarlo el sistema podría estar totalmente comprometido
Revelado de información
En dado caso podríamos revelar información que se supone que no deberíamos de poder ver.
Algun Error menor
Se podría dar la situación en la simplemente sobrescribamos alguna variable menor. Solo por mencionar algún ejemplo.
- Encontrar el medio de comunicación con el creador del software (vendor)
- Arreglado/Corregido
Cabe mencionar que muchas veces el bug no sera parcheado o puede tardar mucho.
Formato sugerido para el reporte de bug
Generalmente estos se reportan en texto plano.
La mayoría de lista de correo esperan no mas de 80 caracteres por fila.
Organización y Secciones recomendadas
- Limitación
- Descripción del Software
- Descripción del Problema
- Impacto
- Solución
- Referencias
- Créditos
La organización de dichas secciones puede variar y por su puesto que estas se reportan en ingles.
--
- Anon
Comentarios