告知潜在客户有关安全漏洞的信息？

Question

我们与潜在客户进行了很多公开讨论，他们经常询问我们的技术专业水平，包括我们当前项目的工作范围。为了衡量他们现在或以前使用过的员工的专业水平，我做的第一件事就是检查 XSS 和 SQL 注入等安全漏洞。我还没有找到一个脆弱的潜在客户，但是我开始怀疑，他们实际上会认为这项调查是有帮助的，或者他们会认为：“嗯，如果我们不与他们开展业务，这些家伙会丢弃我们的网站。”非技术人员很容易被这些东西吓到，所以我想知道这是真诚的表现，还是不良的商业实践？

Answer 1

我想说，突然对他们的软件进行渗透测试让人们感到惊讶可能会让人感到困扰，如果只是因为他们事先不知道这一事实。我想说，如果您打算这样做（我相信这是一件好事），请提前通知您的客户您将这样做。如果他们对此感到有点心烦意乱，请告诉他们在受控环境中从攻击者的角度检查人为错误的好处。毕竟，即使是最有安全感的人也会犯错误：Debian PRNG 漏洞就是一个很好的例子。

Answer 2

我认为这是一个相当主观的决定，如果你告诉他们，不同的潜在客户会有不同的反应。

我认为一个想法可能是在他们将业务交给其他人后让他们知道。

至少这样，前潜在客户不会认为您试图迫使他们给您业务。

Answer 3

我认为这样做的问题是，在不弄乱他们的网站的情况下很难对 XSS 进行检查。此外，诸如 SQL 注入之类的事情可能非常危险。如果您坚持附加选择，您可能不会遇到太多问题，但问题是，您如何知道它甚至正在执行注入的 SQL？

Answer 4

从你描述的方式来看，这似乎是一种糟糕的商业实践，但经过一些修改可能会是一种有益的做法。

首先， 任何 您对客户进行的漏洞评估或渗透测试应得到同意 书面 那个客户，期间。这涵盖了您的合法行为。在没有书面协议的情况下，如果您在检查过程中无意中造成损害（应用程序崩溃、拒绝服务、数据泄露等），您将承担责任并可能被起诉（根据美国法律；其他国家有不同的标准）。

即使您没有造成损害，无知或潜在恶意的客户也可能将您告上法庭，要求损害赔偿；一个无能的法官可能会判给他们。

如果您有这样做的书面授权，那么吸引潜在客户的免费漏洞评估听起来像是一种善意的表现，并展示了您想要的东西——您的技能。