Underc0de

Foros Generales => Dudas y pedidos generales => Mensaje iniciado por: HATI en Enero 30, 2016, 12:46:25 pm

Título: [SOLUCIONADO] Vulnerabilidad Sql ¿Aviso o corro riesgo?
Publicado por: HATI en Enero 30, 2016, 12:46:25 pm
Buenas, hace poco me interese por las vulnerabilidades en bases de datos SQL. Buscando he encontrado una página con una vulnerabilidad importante. Se pueden obtener los nick, pass, email, nombre, apellidos, teléfono, dirección, etc de muchos usuarios.

Creo que lo conveniente sería avisar a la propia página de la vulnerabilidad pero no se si esto podría tener repercusiones negativas hacia mí.
Título: Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?
Publicado por: rollth en Enero 30, 2016, 01:02:38 pm
Muy buenas, en principio no debería pasar nada malo, pero si tienes miedo puedes reportar la vulnerabilidad a través de un tercero, al que tu le proporciones la información y este reporte la vulnerabilidad.
Título: Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?
Publicado por: DarkSpark en Enero 30, 2016, 01:09:38 pm
si yo fuera tu, no avisaría, mejor trata de entrar en el panel de administración y trata de subir una shell, para después intentar rootear el server.
Ahora que si la ética es un problema para ti, puedes avisar sin miedo, la mayoría de las veces los webmaster ni siquiera se toman la molestia de revisar asta que no les haces el deface ( te lo digo por experiancia ).
Saludos.
Título: Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?
Publicado por: blackdrake en Enero 30, 2016, 01:23:40 pm
Hola @hati (https://underc0de.org/foro/index.php?action=profile;u=53687) como has observado, la ética va dentro de cada persona, yo en tu lugar, reportaría (si no quieres por miedo, haría como dijo @rollth (https://underc0de.org/foro/index.php?action=profile;u=30952)).

En cambio, la otra opción es hacer lo que dijo @DarkSpark (https://underc0de.org/foro/index.php?action=profile;u=4092) (delito por cierto).

Solo tu puedes escoger el camino que debes seguir, te recomiendo que leas este post: https://underc0de.org/foro/off-topic-122/(filosofia-hacker)-la-etica-como-parte-del-espiritu-hacker/ quizás, aclare tus ideas

Un saludo.
Título: Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?
Publicado por: HATI en Enero 30, 2016, 05:22:57 pm
Gracias a todos por responder, creo que lo más correcto es avisar y es lo que haré.
Título: Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?
Publicado por: EPSILON en Enero 30, 2016, 05:46:50 pm
Lo correcto siempre es avisar, pero como dicen queda en ti, ahora si tienes dudas sobre como impactara cuando avises sobre el bug utiliza algún mail fantasma o crea uno y conectate en otro lado con otra ip, de esta manera no sabrán que eres tu y habrás avisado el error.

PD: Doy por "solucionado" el post, porque ya tomaste una decisión.

Saludos!