Нашел дыру в reg.ru, как и куда о ней сообщить?

https://www.reg.ru/support/agava/dobro-pozhalovat-v-regru/kak-svyazatsya-so-s...

В сапорт и сообщи

Напиши письмо на адрес 123007, г. Москва, а/я 87, ООО «Регистратор доменных имён REG.RU».

Сделай им дефейс главной страницы. Запили картинку в виде жопы с подписью, что у них проблемы с безопасностью. Через пару лет отпишись как всё прошло.

Или сколько там сейчас дают за взломы

И не забудь ей сказать про сосцы

Увы, там везде требуется логин, который мне-бы не хотелось светить (ибо не мой, клиента).

Россия это не та страна, где крупным медиа компаниям можно что-либо сообщать о проблемах с безопасностью, о найденых дырах. Особенно, если тебя об этом никто не просит и не предлогает гешефт в качестве благодарности. Здесь ты скорее проблем с законом отхватишь за взом. Я уже вижу эти заголовки, как хакер взломал регру с целью наживы или ешё чего. Лучше не связывайся с ними.

Увы, там везде требуется логин, который мне-бы не хотелось светить (ибо не мой, клиента).

Новый зарегать?

В дыру крикни, эхо будет, услышат.

Напиши статью с подробным описанием проблемы. Брось её на опеннет или хабр. Вот только так. Иначе никак.

Продай на чёрном рынке

За это быстрее закроют. Обычно такие статьи пишутся, когда уязвимость закрыта. Поэтому лучше писать им, главное пройти через девочек-менеджеров.

Не закроют. Нет состава преступления.

Пусть пишет из-под Tor какого-нибудь.

Он же как-то проверил, что дыра работает.

Наткнулся чисто случайно, выполняя легальные действия.

У нас за веру во что-либо закрывают. О чем вы говорите? Найдут состав преступления. На всеобщий показ никак нельзя выкладывать. Ну если только из под tor в каком-нибудь интернет-кафе.

Только учти, до тебя её могли заюзать другие. Чтобы не стать крайним - лучше перестраховаться и не раскрывать лишней инфы о себе.

Тебе нужен риск того, что придется это доказывать?

Если так хочешь сделать добро напиши им с какого-нибудь левого e-mail

https://www.reg.ru/support/wish

Наткнулся чисто случайно, выполняя легальные действия.

Мы так то верим, нам то что. А вот следователю попробуй докажи что не верблюд и оно само. Честное слово и мамой клянусь не пройдёт. Так что лучше забудь про это, не создавай себе гемор.

Для начала прочесть о responsible disclosure и действовать по инструкции.

Дак уже засветился на этом форуме, за ним уже выехали.

за ним уже выехали

Чемодан - вокзал - Мексика.

Напиши в личку их публичным аккаунтам в соцсетях (швабр, твиттер, вк, фб) о существовании проблемы и попроси контакты безопасников.

Это зачастую весьма неплохо работает.

Но убедись что контакты не левые, конечно.

Для твиттера — можно не в личку, а просто упомяни их и скажи что у тебя к ним дыра (без подробностей) — могут заметить и ответить.

Крайне не советую тебе вообще куда-либо сообщать. Ибо выйдет боком.

Лучше никуда не сообщать, может выйти сильно боком. Даже если в итоге не найдут состава преступления, своё ты отсидишь, тебе хватит.

Регру та ещё говноконтора, так что я на твоем месте бы помолчал или продал её ровным ребятам-хацкерам.

Кому интересно, вот ответ от ТП рег-ру:

Здравствуйте!

Указанная Вами возможность не является уязвимостью, так как chroot не был установлен изначально. Для работы ssh необходим доступ ко всему дереву каталогов. Файлы конфигурации apache не содержат конфиденциальной информации. Просмотр данной информации не даёт Вам права на внесение изменений.

Уязвимость проявляется так: sshfs ваш_логин@ваш_сайт_на_рег_ру:/ /mnt/target

Получаешь ro доступ на все дерево, начиная с корня, rw на свою директорию.
Мне почему-то казалось, что светить голым корнем в инет вредно для здоровья, ну да ладно.

find . -name wp-config.php -exec cat {} \; | grep DB

это сработает из корня или /home? доступ к скрафченным базам есть?

если есть, то это не жопа, а клоака, и нужно валить asap

куда о ней сообщить?

https://www.nsa.gov

куда о ней сообщить?

В /dev/null

Для работы ssh необходим доступ ко всему дереву каталогов

Чё?

Да сам в шоке.

О дырах сообщать на rozova@reg.ru Предусмотрена багбаунти программа.

Забей болт, еще должен останешся.

https://www.nsa.gov/about/contact-us/#subject:website

Продавай, чо

В спортлото