Pagina 1 di 1
Ho trovato una vulnerabilità critica in un gestionale PHP usato da 300 PMI italiane. Non era un mio cliente. La gestione della disclosure è stata complicata: il vendor non aveva un canale dedicato, i tempi di risposta erano lunghi, c'era il rischio che la vulnerabilità venisse sfruttata mentre cercavo di contattare qualcuno.
In questa categoria scrivo di vulnerability disclosure responsabile: il processo che seguo (contatto, fix window, pubblicazione), gestione di vendor che non hanno security@, escalation via CSIRT/CERT nazionali, criteri etici per decidere quando pubblicare il dettaglio tecnico, modelli di accordo per consulenza.
Se hai trovato una vulnerabilità e non sai come gestire la disclosure, parliamone. Oppure scopri il mio percorso.
Ho trovato una vulnerabilità critica in un gestionale PHP usato da 300 PMI italiane. Non era un mio cliente. La gestione della disclosure è stata complicata: il vendor non aveva un canale dedicato, i tempi di fix erano incerti, e le PMI erano a rischio. Vi racconto come ho gestito ogni fase. Continua a leggere
