Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "E-Sign soluciona problema de seguridad (XSS) en su sitio web" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
Tras el post anterior, la empresa afectada se ha comunicado conmigo vía correo electrónico agradeciendo y comunicando que solucionarán el problema lo antes posible
Estimado Fernando:
Me dirijo a usted como representante de la Empresa E-Sign, en mi calidad de Gerente de Operaciones, para comentarle algunos de los alcances que ha tenido para nosotros el reporte de vulnerabilidad XSS que usted ha publicado a fines de la semana pasada. Con su información hemos verificado los errores reportados, y nuestros programadores se encuentran trabajando en la revisión y corrección de otros posibles problemas. Específicamente, aquellos relacionados con el “contacto.php” se corrigieron el 30 de Abril en la tarde.
Le agradecería que, en el caso de detectar una nueva vulnerabilidad o la posibilidad de ella en nuestro sitio, lo informe directamente a mi correo particular o telefónicamente a la empresa. Asimismo, le solicitamos que nos dé un espacio de tiempo suficiente para corregir el problema, antes de publicarlo en internet.
Finalmente, a nombre de E-Sign, quisiéramos agradecerle su nota y enfatizar que tomaremos todas las medidas necesarias para evitar que este tipo de problemas vuelvan a ocurrir.
Creo que es una buena respuesta y es la forma en que deberían actuar las empresas cuando se les informa sobre algún fallo, bug o vulnerabilidad que los afecta.
Podemos ver que el enlace vulnerable: https://www.e-sign.cl/contacto.php?prefilla=%22%3E%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E ya no se ve afectado.
Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "E-Sign soluciona problema de seguridad (XSS) en su sitio web" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
mayo 4, 2010 a las 7:55 pm
Sep … una buena respuesta, aunque podrían soltar algún “beneficio” que sea, pues inclusive solicitan información privilegiada y directa poh! 😛
mayo 6, 2010 a las 4:17 pm
Estuvo buena la respuesta, pero al igual que Nork_MG creo que de parte de ellos te mereces un beneficio.
Igual, creo que a la próxima no se las perdonas XD.
mayo 11, 2010 a las 8:48 pm
Para rematar el correo piden auditorías de seguridad gratis, al menos reconocen los errores aunque demoraron bastante en responder
mayo 14, 2010 a las 1:43 pm
Me parece una respuesta bastente buena, reconocen sus errores…pero de igual manera te piden “pasar piola” si encuentras vulnerabilidades y auditorias “gratis”.
mayo 17, 2010 a las 9:30 am
es increíble lo amable y educada que pueden llegar a ser las empresas cuando piden que trabajes por nada.
¿ unos cuantos mas y terminas con las muestras gratis ? xD!
mayo 18, 2010 a las 1:07 pm
Jajajaja que respuesta mas correcta, dentro de los parámetros “nos caxaste haciendo la pega mal jajaja gracias por avisar”, por otro lado lo que dice :”Le agradecería que, en el caso de detectar una nueva vulnerabilidad o la posibilidad de ella en nuestro sitio, lo informe directamente a mi correo particular o telefónicamente a la empresa” me sonó a que por favor no publiques esto sin antes revisarlo … ahora tienes que empesar asesorías informáticas parece .
junio 2, 2010 a las 3:47 pm
Hace poco más de 2 semanas reporté a una Fundación colombiana un par de agujeros de seguridad en una aplicación desarrollada con Django, nunca recibí un correo de vuelta, pero si la rectificación de los errores reportados.
Para una próxima situación de ese tipo, primero los hago mierda y luego les informo a través de un post! xD
agosto 1, 2010 a las 5:21 pm
Da igual cuales sea las respuestas, confiaria mas en Zerial que en la empresa para que me haga el servicio de seguridad y antipishing! jajaja!