Acércate a uno de tus profesores en quien confías y explica la información. Si la escuela cuenta con personas calificadas que trabajan para ellos, sin duda podrán decirle que no trató de aprovechar las vulnerabilidades. Algo similar me sucedió mientras estaba en la universidad, estudiando Seguridad de la Información. Después de una pasantía, aprendí bastante y comencé a practicar sistemas de aplicación aleatoria PenTesting para practicar. Sucede que encontré uno. Encontré una manera de descubrir los números de identificación de los estudiantes y el número de tarjeta de crédito vinculado en el archivo utilizado para ciertas cosas. Lo informé de la misma manera que expliqué anteriormente, y terminé con libros gratis para el resto de mi educación, y una cena elegante con la junta directiva y el presidente de mi universidad. Sin embargo, lo que se llevó el pastel fue el hecho de que el presidente en funciones, Barack Obama, estaba dando un discurso en mi escuela y mi escuela y los detalles de seguridad me autorizaron a darle la mano al presidente e incluso ¡tuve una conversación de 5 minutos con él! Es un hombre muy sensato, y estoy orgulloso de haber votado dos veces por él.
Cómo informar varias vulnerabilidades que he encontrado en el sistema de pago del sitio web de mi universidad sin ser acusado de violar su seguridad
Related Content
¿Cuál es la mejor protección contra spyware, malware y virus?
¿Qué es el delito cibernético y por qué se llama así?
¿Qué es una auditoría de seguridad?
¿Qué tan importante es la amenaza de un ciberataque contra las personas en la sociedad actual?
Bueno, has violado su seguridad. Es por eso que tienes algo que informar.
Sus intenciones parecen nobles, pero no lo saben: si notaron algo malo, probablemente tuvieron que hacer una “respuesta al incidente”. Eso puede costar un par de cientos de horas-hombre (piense 8 personas en una sala de reuniones, todas estudiando detenidamente). sobre registros del sistema durante 16 horas). Incluso si informa las vulnerabilidades, es posible que no sientan que les ha hecho un favor.
Entonces, primero, no pidas una recompensa. Algunos lugares lo tomarán como una investigación honesta, pero otros lo verán como un intento de extorsión.
Segundo, haz esto rápidamente. Si puede enviarles la información antes de que comiencen a responder un incidente, les facilitará las cosas y les facilitará las cosas. Si ya han respondido al incidente, es posible que hayan encontrado alguna pista que dejaste accidentalmente; esto es bastante improbable, pero si eso sucede, querrás tu informe en la carpeta “elementos enviados”.
Para hacer el informe, primero envíe un correo electrónico al webmaster, administrador o contacto técnico. Pregúnteles cómo les gustaría que informe las vulnerabilidades de seguridad. Por lo general, le darán la dirección de correo electrónico específica a la que debe enviarlos. Luego, debe enviar su informe solo a esa dirección. Depende de usted si ofrece o no cooperar si desean información adicional.
Si fuera yo, probablemente crearía una dirección de correo electrónico del quemador. Eso podría ayudar a mantener esto en la categoría de “errores para aprender”. Y aprenda de ello: de ahora en adelante, quédese en los sitios que ofrecen una recompensa por errores o, de alguna manera, lo autorice a atacar. De lo contrario, está en posición de pararse en la bóveda de un banco, llamando al gerente del banco y preguntándole si le gustaría saber cuáles son sus problemas de seguridad.
“Me estoy enseñando a mí mismo la piratería de aplicaciones web” terminología incorrecta … Me estoy enseñando a mí mismo las pruebas de penetración como parte de mis estudios / certificación / pasatiempo, etc. y me topé con etc.
La manera en que presentará la vulnerabilidad es crítica. Además de los comentarios ya proporcionados, también recomendaría que descubra ‘los problemas’ junto con un profesor como parte de su estudio (crédito adicional, laboratorio, etc.). El objetivo aquí es presentar una razón legítima de por qué este sitio web en particular se utilizó como objetivo y, más específicamente, como sistema de pago. Después de todo, una pregunta legítima muy pertinente, ¿no?
La percepción del propósito y la motivación resolverán esto.
Ahora, con un propósito menos que académico, pero aún desea informar el problema, vaya a la conducción wifi, use una VM para crear un correo electrónico único para enviar el informe y borrar todo de forma segura. La VM también debería tener una NIC falsa. Es decir, no hay rastros digitales de su descubrimiento o evidencia de que envió el informe.
Espero eso ayude.
Parece poco probable que la universidad haya escrito su propio sistema de pago en el sitio web. Si lo hicieron, probablemente es por eso que tenía errores detectables. Parece más probable que estén utilizando un sistema de pago comercial que se ejecuta bajo la marca de la universidad, en cuyo caso puede consultar el sitio web del proveedor del sistema para obtener información sobre las recompensas de errores y cómo informar problemas de seguridad.
More Interesting
¿Cuál es el futuro del malware informático?
¿Qué algoritmo se usa para la biometría de pulsación de tecla?
¿Debería Microsoft ser responsable de los ataques de ransomware?
Cómo eliminar el virus yeabeast de Windows de forma permanente
¿Cuáles son algunos antivirus gratuitos para una computadora portátil?
¿Es JavaScript seguro para los estándares actuales?
Cómo omitir la verificación en dos pasos en una cuenta de Google que ha sido pirateada
¿Cuál es el mejor antivirus que no ralentiza la computadora?
¿Por qué los inyectores Dll se marcan como malware o virus, es seguro?
¿Por qué es tan difícil eliminar una cuenta que ha sido pirateada cuando era originalmente tuya?
