This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

[SOLUCIONADO] Vulnerabilidad Sql ¿Aviso o corro riesgo?

  • 5 Replies
  • 1909 Views

0 Members and 1 Guest are viewing this topic.

Offline HATI

  • *
  • Ex-Staff
  • *****
  • Posts: 453
  • Actividad:
    0%
  • Reputación 13
    • View Profile
Buenas, hace poco me interese por las vulnerabilidades en bases de datos SQL. Buscando he encontrado una página con una vulnerabilidad importante. Se pueden obtener los nick, pass, email, nombre, apellidos, teléfono, dirección, etc de muchos usuarios.

Creo que lo conveniente sería avisar a la propia página de la vulnerabilidad pero no se si esto podría tener repercusiones negativas hacia mí.
« Last Edit: January 30, 2016, 05:47:45 pm by EPSILON »


Jugar o perder

Online rollth

  • *
  • Ex-Staff
  • *****
  • Posts: 889
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
  • Twitter: @RoloMijan
    • View Profile
    • Whateversec
    • Email

Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?

  • on: January 30, 2016, 01:02:38 pm
Muy buenas, en principio no debería pasar nada malo, pero si tienes miedo puedes reportar la vulnerabilidad a través de un tercero, al que tu le proporciones la información y este reporte la vulnerabilidad.

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Offline DarkSpark

  • *
  • Underc0der
  • Posts: 67
  • Actividad:
    0%
  • Reputación 0
    • View Profile
    • el blog de darkspark

Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?

  • on: January 30, 2016, 01:09:38 pm
si yo fuera tu, no avisaría, mejor trata de entrar en el panel de administración y trata de subir una shell, para después intentar rootear el server.
Ahora que si la ética es un problema para ti, puedes avisar sin miedo, la mayoría de las veces los webmaster ni siquiera se toman la molestia de revisar asta que no les haces el deface ( te lo digo por experiancia ).
Saludos.

You are not allowed to view links. Register or Login
[email protected]

Offline blackdrake

  • *
  • Co Admin
  • Posts: 2005
  • Actividad:
    23.33%
  • Country: es
  • Reputación 23
    • View Profile

Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?

  • on: January 30, 2016, 01:23:40 pm
Hola @You are not allowed to view links. Register or Login como has observado, la ética va dentro de cada persona, yo en tu lugar, reportaría (si no quieres por miedo, haría como dijo @You are not allowed to view links. Register or Login).

En cambio, la otra opción es hacer lo que dijo @You are not allowed to view links. Register or Login (delito por cierto).

Solo tu puedes escoger el camino que debes seguir, te recomiendo que leas este post: You are not allowed to view links. Register or Login quizás, aclare tus ideas

Un saludo.


Offline HATI

  • *
  • Ex-Staff
  • *****
  • Posts: 453
  • Actividad:
    0%
  • Reputación 13
    • View Profile

Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?

  • on: January 30, 2016, 05:22:57 pm
Gracias a todos por responder, creo que lo más correcto es avisar y es lo que haré.


Jugar o perder

Offline EPSILON

  • *
  • Ex-Staff
  • *****
  • Posts: 360
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • [email protected]
    • View Profile

Re:Vulnerabilidad Sql ¿Aviso o corro riesgo?

  • on: January 30, 2016, 05:46:50 pm
Lo correcto siempre es avisar, pero como dicen queda en ti, ahora si tienes dudas sobre como impactara cuando avises sobre el bug utiliza algún mail fantasma o crea uno y conectate en otro lado con otra ip, de esta manera no sabrán que eres tu y habrás avisado el error.

PD: Doy por "solucionado" el post, porque ya tomaste una decisión.

Saludos!