Как уведомить кого-то, что их веб-сайт уязвим для Внедрения SQL? [закрытый]

Вы говорите им. Период.

Они снимут средство рассылки? Возможно. Но если они действительно затем делают Вас, действительно хотят быть в бизнесе с ними?

Более практично, если у них когда-нибудь была проблема с их веб-сайтом, которые стоят им большого количества денег из-за такого нападения и если это когда-нибудь выходило, который Вы знали об этом и не сделали ничего, что у Вас потенциально будут некоторые проблемы ответственности.

Мало того, что это - правильный поступок (чтобы сказать им), но Вы несете профессиональную ответственность сделать так.

Я думаю, связываются с ними и объясняют, что Атака с использованием кода на SQL и как преодолеть ее. и позвольте им иметь дело с компанией, которая разработала их веб-сайт. Это покажет им внимательность их интересов, и я не вижу, что они обижаются, честно.

Удачи

Это действительно подобно этическому вопросу, "Если кто-то сбит автомобилем, Вы останавливаете и помогаете и рискуете становиться преследуемыми или стоите там и часы?"

Я сказал бы им, но вместо того, чтобы говорить, что "Я нашел серьезную уязвимость системы обеспечения безопасности в Вашем коде", скажу я что-то как:

"Эй - Мы получили сообщение об ошибке на Вашем веб-сайте, и я думаю, что он, возможно, имел некоторую уязвимую информацию в нем. Мы могли смотреть на это?" и затем обойдите их через него, мягко и тщательно.

Необходимо сказать им, но не в guns'a'blazin' путь.

Этически, я сказал бы, что Вы не можете просто позволить ему быть. Ваш выбор должен состоять в том, чтобы уведомить их лично или уведомить их анонимно. Я отсылаю электронные письма все время для вещей от права дыр в системе безопасности вниз на неработающие ссылки или изображения.

Скажите им как можно скорее. Если им не нравится он, они, вероятно, не должны быть Вашим партнером.

Отправьте им заказную почту (отслеживающийся, указывает, что проблема важна и требует пристального внимания, и документация может быть полезной, если они решают принести проблемы через своих адвокатов):

Уважаемый господин,

Недавно мы узнали уязвимость в Вашем веб-сайте, который может привести к прерываниям к нашему сервису и возможно потере данных или хуже. Поскольку мы зависим от (вставьте название продукта здесь) для части наших сервисов мы интересуемся этим вопросом, решенным быстро. По сути, мы рекомендуем следующие службы безопасности, которые мы успешно использовали на наших собственных проектах проверить неприкосновенность от наиболее распространенных проблем:

(перечислите 2-3 хороших аудиторских фирмы безопасности здесь),

Мы периодически запрашиваем, чтобы все поставщики отправили сторонней безопасности, тестирующей как нормальный ход дел, однако безотлагательность этой конкретной проблемы такова, что мы чувствовали это важный для предупреждения Вас сразу.

Мы ценим Вашу оперативность по отношению к этому вопросу.

С уважением,
(Менеджер по ИТ, xyz корпорация)

Не указывайте уязвимость. Это приведет им причину сделать полную проверку защиты, вместо того, чтобы просто отправить Ваше беспокойство dev парню, починить ту одну вещь и затем требовать сертификата здоровья. Если они спрашивают,

Я сожалею для нашего собственного и Вашей правовой защиты, кроме которой нам не разрешают обнародовать конкретные детали никакой проблемы безопасности никому под NDA и взаимным отказом ответственности. Именно достаточно простой природы компетентный дилер ценных бумаг разрешит его.

Если продукт, который Вы используете, имеет финансовую природу, то можно просто потребовать, чтобы они отправили программе типа "знака одобрения" из крупнейшей аудиторской фирмы (verisign, например) и прекратили сервис без той изоляции проверки защиты.

- Adam

Вы могли формулировать его таким способом, которым Ваша компания требует, чтобы все поставщики и партнеры предоставили доказательство, что проверка защиты была выполнена. Требования аудита могли включать проверку на Внедрения SQL, и Вы могли включать раздел в свой "документ требований к защите", который связывается с несколькими информативными сайтами. Если они не отвечают или подтверждают затем, что Вы сделали свою обязанность в создании их знающий о возможности и что путем игнорирования проблемы они потеряли бизнес.

Legaly меняют Ваше имя на "Bobby'; Пользователи Таблицы Отбрасывания";

Затем зарегистрируйте аккаунт на их сайте. Это должно привлечь их внимание.

ПРЕДУПРЕЖДЕНИЕ: вышеупомянутый текст является шуткой, не делайте попытку этого дома.

Я был в этой ситуации..., и я сказал бы быть осторожным и очень тактичным.

В моем собственном опыте это был общедоступный сайт, к которому у меня не было присоединения, и они были осторожны до такой степени, что они стали подозрительными к моим намерениям позволить им знать, что их сайт был уязвим (до такой степени, что информация о кредитной карте, возможно, была выставлена).

Уведомьте их сразу, предпочтительно консультируясь с Вашими корпоративными адвокатами сначала. Испуганная реакция могла быть сутяжнической.

Если Вы делаете это в информативном, friendlyand полезный способ они могут на самом деле обратиться к Вам, чтобы помочь им решить его, так готовы иметь ответ на это также. (Могло быть хорошим или плохим зависящий, если Вы хотите работу hte или не хотите грязной нагрузки).

Я разделил бы беспокойство с тем, кто бы ни поверхность Вашей организации с клиентом. Они должны решить, как приблизиться и иметь дело с клиентом, из которого у них есть лучшее понимание.