Potenzielle Kunden über Sicherheitslücken informieren?

Question

Wir führen viele offene Gespräche mit potenziellen Kunden und sie fragen häufig nach unserem technischen Fachwissen, einschließlich des Arbeitsumfangs für unsere aktuellen Projekte.Das erste, was ich tue, um den Grad der Fachkenntnis der Mitarbeiter einzuschätzen, über die sie jetzt verfügen oder zuvor gearbeitet haben, ist, nach Sicherheitslücken wie XSS und SQL-Injection zu suchen.Ich habe noch keinen potenziellen Kunden gefunden, der verwundbar ist, aber ich begann mich zu fragen, ob sie tatsächlich denken, dass diese Untersuchung hilfreich ist, oder würden sie denken: "Ähm, diese Jungs werden unsere Website abwerfen, wenn wir nicht mit ihnen Geschäfte machen . " Nicht-technische Leute haben ziemlich leicht Angst vor diesem Zeug, also frage ich mich, dass dies eine Show des guten Glaubens oder eine schlechte Geschäftspraxis ist.

Answer 1

Ich würde sagen, dass das Überraschen von Leuten, indem sie ihre Software plötzlich einem Penetrationstest unterziehen, schon allein deshalb störend sein kann, weil sie es vorher nicht wussten.Ich würde sagen, wenn Sie dies tun (und ich glaube, dass es eine gute Sache ist), informieren Sie Ihre Kunden im Voraus darüber.Wenn sie darüber etwas verstört zu sein scheinen, erklären Sie ihnen die Vorteile der Überprüfung auf menschliches Versagen aus der Sicht des Angreifers in einer kontrollierten Umgebung.Denn auch die sichersten Menschen machen Fehler:Die Debian-PRNG-Sicherheitslücke ist ein gutes Beispiel dafür.

Answer 2

Ich denke, dass dies eine ziemlich subjektive Entscheidung ist und verschiedene Interessenten unterschiedlich reagieren würden, wenn Sie es ihnen sagen würden.

Ich denke, eine Idee könnte darin bestehen, sie darüber zu informieren, nachdem sie jemand anderem einen Auftrag erteilt haben.

Zumindest wird der Ex-Interessent auf diese Weise nicht denken, dass Sie ihn unter Druck setzen wollen, Ihnen das Geschäft zu überlassen.

Answer 3

Ich denke, das Problem dabei wäre, dass es ziemlich schwierig wäre, XSS zu überprüfen, ohne die Website zu beschädigen.Außerdem könnten Dinge wie SQL-Injection ziemlich gefährlich sein.Wenn Sie beim Anhängen von Selects geblieben sind, haben Sie vielleicht kein allzu großes Problem, aber dann stellt sich die Frage: Woher wissen Sie, dass das injizierte SQL überhaupt ausgeführt wird?

Answer 4

So wie Sie es beschrieben haben, scheint es sich um eine schlechte Geschäftspraxis zu handeln, die mit einigen Änderungen von Vorteil sein könnte.

Erst einmal, beliebig Die Schwachstellenbewertung oder der Penetrationstest, den Sie bei einem Kunden durchführen, sollten vereinbart werden schriftlich von diesem Kunden, Punkt.Dies deckt Ihr Handeln rechtlich ab.Wenn Sie ohne eine schriftliche Vereinbarung während Ihrer Inspektion versehentlich einen Schaden verursachen (Absturz der Anwendung, Denial-of-Service, Datenleck usw.), sind Sie haftbar und können (nach US-amerikanischem Recht) angeklagt werden;andere Länder haben andere Standards).

Auch wenn Sie keinen Schaden verursachen, könnte ein ahnungsloser oder möglicherweise böswilliger Kunde Sie vor Gericht verklagen und Schadensersatz fordern;Ein ahnungsloser Richter könnte sie einfach zusprechen.

Wenn Sie über eine schriftliche Genehmigung dazu verfügen, dann klingt eine kostenlose Schwachstellenbewertung zur Gewinnung potenzieller Kunden wie ein Zeichen von Treu und Glauben und zeigt, was Sie wollen – Ihre Fähigkeiten.