Сообщите потенциальным клиентам об уязвимостях безопасности?

Question

У нас много открытых дискуссий с потенциальными клиентами, и они часто спрашивают о нашем техническом опыте, включая объем работ по нашим текущим проектам. Первое, что я делаю для того, чтобы измерить уровень знаний и опыта сотрудников, которые они сейчас используют или использовали ранее, - это проверка на наличие уязвимостей безопасности, таких как XSS и инъекция SQL. Мне еще предстоит найти потенциального клиента, который уязвим, но я начал задаваться вопросом, считают ли они это расследование полезным, или они подумают: «Эти ребята погубят наш сайт, если мы не будем иметь с ними дело» «. Нетехнические люди очень легко пугаются этой вещи, поэтому мне интересно, это демонстрация добросовестности или плохой деловой практики?

Answer 1

Я бы сказал, что удивительные люди, внезапно тестирующие их программное обеспечение на проникновение, могут беспокоить людей, если просто потому, что они не знали заранее. Я бы сказал, если вы собираетесь это сделать (и я считаю, что это хорошо), заранее сообщите своим клиентам, что вы собираетесь это сделать. Если они кажутся немного расстроенными из-за этого, расскажите им о преимуществах проверки на человеческую ошибку с точки зрения злоумышленника в контролируемой среде. В конце концов, даже самые надежные разработчики допускают ошибки: уязвимость Debian PRNG является хорошим примером этого.

Answer 2

Я думаю, что это довольно субъективное решение, и разные перспективы отреагируют по-разному, если вы скажете им.

Я думаю, что идея может состоять в том, чтобы сообщить им после того, как они передали бизнес кому-то еще.

По крайней мере, таким образом, бывший потенциальный клиент не подумает, что вы пытаетесь заставить их дать вам бизнес.

Answer 3

Из того, как вы это описали, похоже, что плохая деловая практика может быть полезной с некоторыми изменениями.

Прежде всего, любая оценка уязвимости или тест на проникновение, которые вы проводите на клиенте, должны быть согласованы в письменном виде с этим клиентом, срок. Это покрывает ваши действия на законных основаниях. Без письменного соглашения, если вы непреднамеренно причинили ущерб (сбой приложения, отказ в обслуживании, утечка данных и т. Д.) Во время проверки, вы несете ответственность и можете быть обвинены (в соответствии с законодательством США; в других странах действуют другие стандарты). *

Даже если вы не причинили ущерба, невежественный или потенциально злонамеренный клиент может привлечь вас к суду с требованием возмещения убытков; невежественный судья может просто наградить их.

Если у вас есть письменное разрешение на это, то бесплатная оценка уязвимости для привлечения потенциальных клиентов звучит как демонстрация добросовестности и демонстрирует, чего вы хотите - ваши навыки.

Answer 4

Я думаю, что проблема в том, что было бы довольно сложно выполнить проверку XSS, не испортив свой сайт. Кроме того, такие вещи, как инъекция SQL, могут быть довольно опасными. Если вы застряли с добавлением выбора, у вас может не быть особых проблем, но тогда возникает вопрос: откуда вы знаете, что он даже выполняет введенный SQL?