提问人: 提问时间:9/10/2008 最后编辑:Jon Seigel 更新时间:3/5/2010 访问量:272
将安全漏洞告知潜在客户?
Inform potential clients about security vulnerabilities?
问:
我们与潜在客户进行了很多公开讨论,他们经常询问我们的技术专长水平,包括我们当前项目的工作范围。为了衡量员工现在或以前使用的专业知识水平,我做的第一件事是检查安全漏洞,如 XSS 和 SQL 注入。我还没有找到一个易受攻击的潜在客户,但我开始怀疑,他们是否真的认为这项调查是有帮助的,或者他们会认为,“嗯,如果我们不与他们做生意,这些人会破坏我们的网站。非技术人员很容易被这些东西吓到,所以我想知道这是善意的表现,还是糟糕的商业行为?
答:
0赞
Kibbee
9/10/2008
#1
我认为这样做的问题是,在不弄乱他们的网站的情况下对 XSS 进行检查是相当困难的。此外,像 SQL 注入这样的事情可能非常危险。如果你坚持追加选择,你可能不会有太大的问题,但问题是,你怎么知道它甚至在执行注入的 SQL?
1赞
Vaibhav
9/10/2008
#2
我认为这是一个相当主观的决定,如果你告诉他们,不同的潜在客户会有不同的反应。
我认为一个想法可能是在他们将业务交给其他人后让他们知道。
至少这样,前潜在客户不会认为你是在试图向他们施压,让他们把业务交给你。
2赞
verix
9/10/2008
#3
我想说的是,通过突然对他们的软件进行渗透测试来让人们感到惊讶可能会打扰人们,如果仅仅是因为他们事先不知道这一事实。我想说的是,如果你要这样做(我相信这是一件好事),请提前通知你的客户你要这样做。如果他们对此感到有些心烦意乱,请告诉他们在受控环境中从攻击者的角度检查人为错误的好处。毕竟,即使是最有安全感的人也会犯错误:Debian PRNG 漏洞就是一个很好的例子。
评论
0赞
Ross
12/31/2008
但是,如果他们通常不防范它,那么他们是开发软件的合适人选吗?
0赞
romandas
12/31/2008
#4
从你描述的方式来看,这似乎是一种糟糕的商业行为,但经过一些修改可能是一种有益的商业行为。
首先,您对客户进行的任何漏洞评估或渗透测试都应由该客户以书面形式同意。这在法律上涵盖了您的行为。如果没有书面协议,如果您在检查过程中无意中造成损坏(应用程序崩溃、拒绝服务、数据泄露等),您将承担责任并可能被收取费用(根据美国法律;其他国家/地区有不同的标准)。
即使您没有造成损害,无知或潜在恶意的客户也可能将您告上法庭要求损害赔偿;一个无知的法官可能会授予他们。
如果您已获得书面授权,那么吸引潜在客户的免费漏洞评估听起来像是诚意的表现,并展示了您想要的东西 - 您的技能。
评论