[SOLUCIONADO] Vulnerabilidad Sql ¿Aviso o corro riesgo?

  • 5 Respuestas
  • 1873 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado HATI

  • *
  • Ex-Staff
  • *****
  • Mensajes: 453
  • Actividad:
    0%
  • Reputación 13
    • Ver Perfil
Buenas, hace poco me interese por las vulnerabilidades en bases de datos SQL. Buscando he encontrado una página con una vulnerabilidad importante. Se pueden obtener los nick, pass, email, nombre, apellidos, teléfono, dirección, etc de muchos usuarios.

Creo que lo conveniente sería avisar a la propia página de la vulnerabilidad pero no se si esto podría tener repercusiones negativas hacia mí.
« Última modificación: Enero 30, 2016, 05:47:45 pm por EPSILON »


Jugar o perder

Desconectado rollth

  • *
  • Ex-Staff
  • *****
  • Mensajes: 889
  • Actividad:
    3.33%
  • Reputación 16
  • El conocimiento es libre.
  • Twitter: @RoloMijan
    • Ver Perfil
    • Whateversec
    • Email

Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?

  • en: Enero 30, 2016, 01:02:38 pm
Muy buenas, en principio no debería pasar nada malo, pero si tienes miedo puedes reportar la vulnerabilidad a través de un tercero, al que tu le proporciones la información y este reporte la vulnerabilidad.

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Desconectado DarkSpark

  • *
  • Underc0der
  • Mensajes: 67
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • el blog de darkspark

Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?

  • en: Enero 30, 2016, 01:09:38 pm
si yo fuera tu, no avisaría, mejor trata de entrar en el panel de administración y trata de subir una shell, para después intentar rootear el server.
Ahora que si la ética es un problema para ti, puedes avisar sin miedo, la mayoría de las veces los webmaster ni siquiera se toman la molestia de revisar asta que no les haces el deface ( te lo digo por experiancia ).
Saludos.

You are not allowed to view links. Register or Login
[email protected]

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 2002
  • Actividad:
    36.67%
  • Country: es
  • Reputación 22
    • Ver Perfil

Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?

  • en: Enero 30, 2016, 01:23:40 pm
Hola @You are not allowed to view links. Register or Login como has observado, la ética va dentro de cada persona, yo en tu lugar, reportaría (si no quieres por miedo, haría como dijo @You are not allowed to view links. Register or Login).

En cambio, la otra opción es hacer lo que dijo @You are not allowed to view links. Register or Login (delito por cierto).

Solo tu puedes escoger el camino que debes seguir, te recomiendo que leas este post: You are not allowed to view links. Register or Login quizás, aclare tus ideas

Un saludo.


Desconectado HATI

  • *
  • Ex-Staff
  • *****
  • Mensajes: 453
  • Actividad:
    0%
  • Reputación 13
    • Ver Perfil

Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?

  • en: Enero 30, 2016, 05:22:57 pm
Gracias a todos por responder, creo que lo más correcto es avisar y es lo que haré.


Jugar o perder

Desconectado EPSILON

  • *
  • Ex-Staff
  • *****
  • Mensajes: 360
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • [email protected]
    • Ver Perfil

Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?

  • en: Enero 30, 2016, 05:46:50 pm
Lo correcto siempre es avisar, pero como dicen queda en ti, ahora si tienes dudas sobre como impactara cuando avises sobre el bug utiliza algún mail fantasma o crea uno y conectate en otro lado con otra ip, de esta manera no sabrán que eres tu y habrás avisado el error.

PD: Doy por "solucionado" el post, porque ya tomaste una decisión.

Saludos!