Pokaż wyniki 1 do 8 z 8

Temat: Jak i gdzie publikować?

  1. #1
    Zarejestrowany
    Aug 2007
    Postów
    1

    Domyślnie Jak i gdzie publikować?

    Witam,
    od jakiegoś czasu bawię się w wyszukiwanie w polskich serwisach luk pozwalających na ataki typu XSS czy SQL injection.
    Do tej pory wyglądało to tak, że po znalezieniu pisałem do admina, ten poprawiał (albo w 80% przypadków nie poprawiał) i sprawa załatwiona.
    Potem pomyślałem, że może by na tym zarobić jednak pieniądze - dlaczego ciągle poprawiać po kimś, kto przecież już za to coś zainkasował.
    No ale po lekturze:
    http://shwsite.org/?p=200
    pomyślałem sobie, ze na obecnym etapie w naszym kraju dość ryzykowne
    Hmm...pomyślałem sobie - "Ok, kasy z tego nie musi być - przecież mam pracę - ale żeby chociaż mógł się pokazać"
    Uderzyłem na milwOrm.com - ale pudło, bo tam nie chcą informacji o komercyjnych, konkretnych adresach tylko o błędach w open-skryptach.
    Z jednej strony to rozumiem, ale mnie to jakoś nie kręci - na szukanie błędów w IE widzy mi nie starcza, a przeglądanie pliku PHP jest nudne i nie daje takiej frajdy jak szukanie błędów "po omacku" w dodatku z wyłączonym error_reporting

    No i teraz pytanie: Zatem gdzie ...i jak mogę publikować takie informacje? I czy to znowu nie jest karalne? Powinienem wcześniej publikacje konsultować z
    adminem ...czy nie , bo wystarczy go poinformować? Wiem, ze są blogi, wiem że ludzie o tym piszą....ale jak to robić "etycznie" ?

    pozdrawiam

  2. #2
    Zarejestrowany
    Jan 2007
    Postów
    695

    Domyślnie

    Na moje to nie można tak publikować błędów... Nie wiem... może się myle
    Zbliża się Trollmagedon...

  3. #3
    Zarejestrowany
    Feb 2007
    Skąd
    w domu :D
    Postów
    535

    Domyślnie

    No fakt tak o nie mozesz sobie publikowac błędów bo ktoś moze ja wykorzystac!
    No ale jak juz bys chcial publikowac te bledy pytasz admina o zgode jak sie zgodzi to zero lamania prawa.Takie moje zdanie!


    pozdrawiam
    Pamiętaj zanim zapytasz sprawdź ten adres www.google.pl

  4. #4
    Zarejestrowany
    Jan 2007
    Postów
    695

    Domyślnie

    Wiesz... ale jeśli Admin nie zechce załatać dziur i "oleje sprawe" to... nie wiem możesz mu zniszczyć serwis ale to bez sensu... Żadnych korzysci a tylko psujesz... Wpierdal Adminowi jedynie...(ale to też łamanie prawa:P)
    Zbliża się Trollmagedon...

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    W przypadku aplikacji pisanych dla poszczegolnych firm gdzie kazda jest inna to bedzie trudne. Jesli jest to jakis komercyjny produkt (np e-commerce) to sprawa jest prostsza. Informujesz autorow softu (byle skutecznie!) opisujac luke dokladnie jak sie da... dolaczajac informacje, ze za 3 miesiace opublikujesz informacje tu i tu. W ten sposob dajesz autorom czas na zalatanie dziury i wypuszczenie aktualizacji, pozniej nie moga miec raczej zastrzezen...

    ... niestety sa tu tez kruczki prawne - detali teraz nie pamietam, ale postaram sie zlapac jednego ze znajomych i podpytac - on ma z tym czesciej stycznosc.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    Zarejestrowany
    Jan 2007
    Postów
    695

    Domyślnie

    W sensie ze musimy to zrobic w jakis odpowiedni sposob bo inaczej moga nas oskarzyc?
    Zbliża się Trollmagedon...

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    ... niestety tak

    Bardzo latwo przy tym podpasc... jesli ktos od wydawcy softu ruszy temat wynagrodzenia to moze probowac wrobic Cie w szantaz albo ogolnie oskarzyc o szantaz bo znalazles cos co mu nie na reke, powiadomiles go ze upublicznisz jesli nie zrobi tego co chcesz (a ze to dla jego dobra to juz inna bajka)...

    Inna sprawa - powiadomiles, oni nic nie zrobili, opublikowales zgodnie z zapowiedzia i firma stracila nieco kasy i klientow - moga Cie za to probowac sadzic... mowie 'probowac' bo jakos nie widze aby mogli cos zrobic ale probowac zawsze moga... a majac dobrego prawnika maja zawsze jakies szanse wygrac.

    Mozna tez isc na zywiol... albo publikowac anonimowo lub uzywac kogos znanego jako proxy - poprosic o przedstawienie takiej informacji. Znam ludzi ktorzy tak dzialaja ale jesli 'gowno trafi w wentylator' to oni powiedza od kogo to dostali bo nie zaryzykuja pojscia do wiezienia za kogos Wszystko ma swoje granice...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    Zarejestrowany
    Jan 2007
    Postów
    695

    Domyślnie

    a jak np wykryjemy luke na stronie FBI (lol) to co mozglibysmy zrobic?:P
    Zbliża się Trollmagedon...

Podobne wątki

  1. error gdzie jest
    By ble34 in forum Hacking
    Odpowiedzi: 11
    Autor: 06-15-2007, 23:46
  2. Gdzie szukać pożadnych artykułów...
    By zorlan in forum Newbie - dla początkujących!
    Odpowiedzi: 16
    Autor: 06-02-2007, 20:14
  3. CSS - co gdzie jak...
    By eMCe in forum HTML/DHTML/XHTML
    Odpowiedzi: 0
    Autor: 03-04-2007, 00:32
  4. gdzie moge znalezc netbusa?
    By ironwall in forum Hacking
    Odpowiedzi: 2
    Autor: 01-28-2007, 22:20
  5. [DELPHI]Kompilator - gdzie znajde?
    By Macok in forum Delphi/Pascal/Lisp
    Odpowiedzi: 4
    Autor: 12-20-2006, 15:32

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52