Posto se vec dugo bavim sa PHP-om nailazio sam na situacija kad mi klijent da nesto da sredim u nekoj gotovoj scripti koja je kupljena ili skinuta free sa neta da jednostavno uocim sigurnosne propuste.
Do sada kad imam vremena uvek sam prijavljivao propuste na
http://www.securityfocus.com/
E nikad se nisam bas o tome raspitivao kako se to tretira!!
Recimo radis za nekog klijenta koji je kupio proizvod na netu ima licencu.
Moj primer.
Dobio sam da sredim jednu scriptu i sta se desava. Odma nakon 2 minuta geledanja pocetnog koda spazim opasan sigurnosni propust.
E sad da ja ocu da prijavim taj propust na netu kako se to tretira ??
Sta bi mogao meni vlasnik ili kompanija koja je prozivela prozivod da uradi ako bi ja objavio taj propust?? Da li prvo treba njima da javim ili da javno objavim vec na spomenutom sajtu! ??
- Scripta nije FREE vec se placa!
- Scripta je dosta popularna na net-u " Ne u velikoj meri ali je popularna"
- Ukoliko bi objavio propust na http://www.securityfocus.com/
doslo bi do toga da bi garant stradala gomila sajtova iskoriscavanjem propusta
jer tamo visi na stotine Lamera koji jedva cekaju da se docepaju 0Day POC exploita.
Do sada sam sve propuste objavio sa laznim nickom i laznom email adresom. Ali sve su to bile free scripte.
Ali sta sa placenim scriptama koje mogu da nanesu veliku stetu objavljivanjem jednog sigurnosnog propusta ??
Pozzzzzzz
Sto mozes danas ne ostavljaj za sutra!