Inform potential clients about security vulnerabilities?我们与潜在客户进行了很多公开讨论,他们经常询问我们的技术专长,包括我们当前项目的工作范围。 为了评估他们现在或以前使用过的员工的专业水平,我要做的第一件事是检查XSS和SQL注入等安全漏洞。 我还没有找到一个潜在的脆弱客户,但我开始怀疑,他们是否真的认为这项调查是有帮助的?或者他们会认为:"嗯,如果我们不与他们做生意,这些人就会浪费我们的网站 。" 非技术人员会很容易被这些东西吓到,所以我想知道这是真诚的表现还是不良的商业惯例? 我要说的是,突然之间对它们的软件进行渗透测试会使人感到惊讶,即使仅仅是因为他们不提前知道这一事实,也会使他们感到困扰。我想说,如果您打算这样做(并且我认为这是一件好事),请提前告知您的客户您将要这样做。如果他们对此感到有些烦恼,请告诉他们在受控环境中从攻击者的角度检查人为错误的好处。毕竟,即使是最安全的人也会犯错误:Debian PRNG漏洞就是一个很好的例子。 我认为这是一个相当主观的决定,如果您告诉他们,不同的前景会有不同的反应。 我认为一种想法可能是在他们与他人进行业务往来之后让他们知道。 至少以这种方式,这位潜在客户不会认为您正试图迫使他们为您提供业务。 从您的描述方式来看,这似乎是一种不良的业务实践,经过一些修改可能会是有益的。 首先,您对客户进行的任何漏洞评估或渗透测试都应以该客户的书面同意。这涵盖了您的合法行为。没有书面协议,如果您在检查期间无意中造成损害(应用程序崩溃,拒绝服务,数据泄漏等),您将承担责任并可能受到起诉(根据美国法律;其他国家/地区采用不同的标准)。 即使您不造成损害,一个无知或潜在恶意的客户也可能会将您带到法院要求损害赔偿;一个无知的法官可能会奖励他们。 如果您获得书面授权,那么免费的漏洞评估以吸引潜在客户就好像是真诚的表现,并证明了您想要的-您的技能。 我认为这样做的问题是,要在不弄乱其站点的情况下对XSS进行检查将非常困难。此外,诸如SQL注入之类的事情可能非常危险。如果您坚持附加选择,那么可能不会有太大的问题,但是问题是,您怎么知道它甚至在执行注入的SQL? |
