Buenas, hace poco me interese por las vulnerabilidades en bases de datos SQL. Buscando he encontrado una página con una vulnerabilidad importante. Se pueden obtener los nick, pass, email, nombre, apellidos, teléfono, dirección, etc de muchos usuarios.
Creo que lo conveniente sería avisar a la propia página de la vulnerabilidad pero no se si esto podría tener repercusiones negativas hacia mí.
Muy buenas, en principio no debería pasar nada malo, pero si tienes miedo puedes reportar la vulnerabilidad a través de un tercero, al que tu le proporciones la información y este reporte la vulnerabilidad.
si yo fuera tu, no avisaría, mejor trata de entrar en el panel de administración y trata de subir una shell, para después intentar rootear el server.
Ahora que si la ética es un problema para ti, puedes avisar sin miedo, la mayoría de las veces los webmaster ni siquiera se toman la molestia de revisar asta que no les haces el deface ( te lo digo por experiancia ).
Saludos.
Hola @hati (https://underc0de.org/foro/index.php?action=profile;u=53687) como has observado, la ética va dentro de cada persona, yo en tu lugar, reportaría (si no quieres por miedo, haría como dijo @rollth (https://underc0de.org/foro/index.php?action=profile;u=30952)).
En cambio, la otra opción es hacer lo que dijo @DarkSpark (https://underc0de.org/foro/index.php?action=profile;u=4092) (delito por cierto).
Solo tu puedes escoger el camino que debes seguir, te recomiendo que leas este post: https://underc0de.org/foro/off-topic-122/(filosofia-hacker)-la-etica-como-parte-del-espiritu-hacker/ quizás, aclare tus ideas
Un saludo.
Gracias a todos por responder, creo que lo más correcto es avisar y es lo que haré.
Lo correcto siempre es avisar, pero como dicen queda en ti, ahora si tienes dudas sobre como impactara cuando avises sobre el bug utiliza algún mail fantasma o crea uno y conectate en otro lado con otra ip, de esta manera no sabrán que eres tu y habrás avisado el error.
PD: Doy por "solucionado" el post, porque ya tomaste una decisión.
Saludos!