Подтвердить что ты не робот

Как уведомить кого-то о том, что их сайт уязвим для SQL-инъекций?

Оригинальный вопрос:
У партнера-партнера есть сайт, который уязвим для SQL-инъекций.

Мы заметили это случайно (опечатка в URL-адресе вызвала чрезвычайно информативную страницу ошибок).

Теперь мы не очень хорошо знаем этого партнера. Мы начали заниматься с ними только неделю назад. У них самих очень мало технических навыков; их веб-сайт разработан для них третьей компанией, которая занимается веб-сайтами.

Теперь очевидно, что мы должны предупредить их о проблеме. Но мы немного обеспокоены тем, что, если мы сообщим им о проблеме, они испугаются и больше не доверяют нам (стреляйте в посланника, чтобы проблема исчезла).

Есть ли у вас когда-либо в этой ситуации? что ты сделал?

Еще одна вещь:
Поскольку компания, которая разработала веб-сайт, по-видимому, не делает вводной проверки/дезинфекции вообще, у нас нет большой уверенности в этой компании. Хотя это не наша проблема, мы чувствуем, что мы должны предупредить нашего партнера-партнера о потенциальной нехватке безопасности и качества в остальной части их системы. Это поставило бы нас в ловушку со своим разработчиком, и мы не хотим вмешиваться в ситуацию против нас.

Должны ли мы уведомить их о наших дополнительных проблемах? или вы советуете, чтобы это было?



Update:
Итак, как дела обстояли?

Мы уведомили их о существующей проблеме, включили справочную информацию, подробный отчет об ошибке и попытались объяснить на простом человеческом языке, в чем проблема и почему это серьезно.

Они поблагодарили нас, передали информацию разработчику своего сайта, который с тех пор исправил ее.
Мы не совсем уверены в качестве исправления, но мы ничего не можем с этим поделать, и это не наша ответственность. (Хотя он чувствует себя как наша ответственность, тем более, что мы сообщили об этом).

Однако отношения изменились. Они менее открыты, и ответы гораздо более сдержанны, чем раньше. Мы надеемся, что это изменится к лучшему в будущем, но он уверен, что сообщение о проблеме повредило доверие к этим отношениям.

Итак, если вы когда-нибудь окажетесь в том же положении, будьте осторожны, не спешите объяснять проблему и будьте готовы к менее оптимальному ответу.

4b9b3361

ОТВЕТЫ

Ответ 1

Поднимите его. Если он разрушает отношения, лучше теперь, чем когда ваши компании имеют более тесные отношения, так что, когда они будут взломаны в следующее воскресенье, это тоже причинит вам боль.

Ответ 2

Скажите им. Период.

Будут ли стрелять в посланника? Может быть. Но если они это делают, вы действительно хотите быть с ними в бизнесе?

Более прагматично, если у них когда-либо была проблема с их сайтом, который стоил им больших денег из-за такой атаки, и если бы вы когда-нибудь узнали об этом и ничего не сделали, у вас потенциально возникли бы некоторые проблемы с ответственностью.

Не только правильная вещь (чтобы сказать им), но вы несете профессиональную ответственность за это.

Ответ 3

Этически, я бы сказал, вы не можете просто позволить этому быть. Ваш выбор должен состоять в том, чтобы уведомить их лично или уведомить об этом анонимно. Я все время отправляю электронные письма для вещей из дыр в безопасности, вплоть до неработающих ссылок или изображений.

Ответ 4

Скажите им как можно скорее. Если им это не нравится, они, вероятно, не должны быть вашим партнером.

Ответ 5

Я думаю, свяжитесь с ними и объясню, что такое атака SQL Injection и как ее преодолеть. и позволить им иметь дело с компанией, которая разработала свой сайт. Он покажет им, что вы смотрите на их лучший интерес, и я не вижу, чтобы они обижались, честно говоря.

Удачи.

Ответ 6

Это действительно похоже на этический вопрос: "Если кто-то попадает в машину, вы останавливаетесь, помогаете и рискуете получить иск или стоять там и смотреть?"

Я бы сказал им, но вместо того, чтобы сказать "я нашел серьезную уязвимость в вашем коде", я бы сказал что-то вроде:

"Привет. Мы получили сообщение об ошибке на вашем веб-сайте, и я думаю, что в нем могла быть какая-то конфиденциальная информация. Можем ли мы взглянуть на это?" и затем проведите их через него, осторожно и осторожно.

Вам нужно сказать им, но не в ружьем.

Ответ 7

Отправляйте им сертифицированную почту (отслеживание, указывает, что проблема важна и требует немедленного внимания, а бумажный след может быть полезен, если они решают проблемы с помощью своих адвокатов):

Уважаемый господин,

Недавно нам стало известно о уязвимости на вашем веб-сайте, которая может привести к перебоям в наших службы и, возможно, потери данных или хуже. Поскольку мы зависим от (вставить название продукта здесь) для части нашего услуг, нас это интересует проблема будет решена быстро. В виде таких, мы рекомендуем следующее службы безопасности, которые мы имеем успешно используется в наших собственных проектах для проверки иммунитета к наиболее распространенным вопросы:

(список 2-3 хороших аудиторских фирм по безопасности здесь)

Мы периодически просим, ​​чтобы все поставщики передают стороннюю гарантию тестирование как нормальный ход бизнеса, однако актуальность этого особая проблема такова, что мы чувствовали важно сразу предупредить вас.

Мы высоко ценим ваше быстрое внимание к этот вопрос.

С уважением,
  (ИТ-менеджер, xyz corp)

Не указывайте уязвимость. Это даст им повод сделать полный аудит безопасности, а не просто отправить вашу заботу об этом девчонке, исправить одно, а затем потребовать чистого счета. Если они спросят,

Извините, за наши собственные и ваши законные мы не можем разглашать конкретные сведения о любой проблеме безопасности любому, кроме НДА и взаимных отказ от ответственности. Он достаточно простой характер, что компетентная безопасность фирма решит его.

Если продукт, который вы используете, имеет финансовый характер, то вы можете просто потребовать, чтобы он подал заявку на "печать утверждения" из крупной аудиторской фирмы (например, verisign) и прекратил обслуживание без этой безопасности контрольная печать.

-Adam

Ответ 8

Вы можете сделать это так, чтобы ваша компания требовала от всех поставщиков и партнеров подтверждения того, что аудит безопасности был выполнен. Требования к аудиту могут включать проверку для SQL-инъекций, и вы можете включить раздел в ваш "документ требований безопасности", который ссылается на несколько информационных сайтов. Если они не ответят или не подтвердят, вы выполнили свой долг, чтобы сообщить им о возможности и что, игнорируя проблему, они потеряли ваш бизнес.

Ответ 9

Правовая информация изменит ваше имя на "Bobby"; пользователи "Drop Table Users";

Затем зарегистрируйтесь для учетной записи на своем сайте. Это должно привлечь их внимание.

ПРЕДУПРЕЖДЕНИЕ: вышеприведенный текст - шутка, не пытайтесь сделать это дома.

Ответ 10

Я был в этой ситуации... и я бы сказал, будьте осторожны и очень тактичны.

По моему собственному опыту, это был общедоступный веб-сайт, к которому у меня не было аффилированности, и они были осторожны до такой степени, что стали подозревать мои намерения сообщить им, что их сайт уязвим (в той мере, в какой кредитная карта информация могла быть выставлена).

Ответ 11

Немедленно сообщите об этом, предпочтительно сначала обратитесь к своим корпоративным юристам. Паническая реакция может быть один спорной.

Если вы сделаете это в информативной, дружелюбной и полезной манере, они могут на самом деле обратиться к вам, чтобы помочь им решить ее, поэтому будьте готовы ответить на этот вопрос. (Может быть хорошо или плохо, если вы хотите работать hte или не хотите беспорядочного бремени).

Ответ 12

Я бы поделился заботой о том, кем вы являетесь лицом вашей организации с клиентом. Они должны решить, как подойти и разобраться с клиентом, что они лучше всего понимают.