Security.TXT un draft del IETF para mi Hackers.TXT

  • 14 septiembre, 2017
  • Hacking
Hace ya muchos años, harto de no saber cómo actuar cuando una vulnerabilidad era descubierta en una página web, yo propuse la creación de un fichero llamado Hackers.TXT para que los investigadores supieran cómo debían actuar sin tener un problema legal. 

Figura 1: Security.TXT un draft del IETF para mi Hackers.TXT

Una idea que a mí me parecía una necesidad en el mundo de hoy en día, y que incluso muchos compañeros me pidieron que empujar con más fuerza. De hecho, algunos researchers reservaron hackers.org y otros canales para potenciar esta idea, y en varios rincones del mundo se solicitaba formalmente una definición. A mi me bastaba con un texto informativo.
Figura 2: Petición de definición de hackers.txt
En ausencia de esta información, las alternativas de los investigadores era reportar a empresa que tuvieran Bug Bounties abiertas o que fueran Hacking Friendly, y no reportar ninguna en el resto de las empresas. 
Figura 3: Draft para Security.TXT
Ahora, me alegra ver que hay desde ese mes de Agosto un draft propuesto para esta idea, con el nombre de Security.TXT y que está abierto para debate en el IETF, bajo el nombre de “A Method for Web Security Policies“.
Figura 4: Motivación, Terminología y Especificación para SECURITY.TXT
La idea es tan sencilla como yo proponía en Hackers.txt, es decir, que un investigador supiera cómo actuar cuando una vulnerabilidad había sido descubierta, lo que ayuda a explicar si hay una Bug Bounty o no abierta, y dar los puntos de contactos habilitados.
Figura 5: La definición del formato
Con un formato muy sencillo que se puede ver en esta definición, el fichero SECURITY.TXT, publicado en el path raíz de una aplicación web, daría toda la información que necesitan los investigadores para saber cómo actuar y eliminaría uno de los problemas que aún siguen teniendo:

– ¿Cómo lo reporto?
– ¿Me voy a meter en algún lío?
– ¿Hay algún premio por ello?

Saludos Malignos!


Source: El lado del mal




No hay comentarios


Puedes dejar el primero : )



Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *