¿Informar a los clientes potenciales sobre las vulnerabilidades de seguridad?

Question

Mantenemos muchas conversaciones abiertas con clientes potenciales y con frecuencia nos preguntan sobre nuestro nivel de experiencia técnica, incluido el alcance del trabajo para nuestros proyectos actuales.Lo primero que hago para evaluar el nivel de experiencia del personal que tiene ahora o que ha utilizado anteriormente es comprobar si hay vulnerabilidades de seguridad como XSS y inyección SQL.Todavía tengo que encontrar un cliente potencial que sea vulnerable, pero comencé a preguntarme, ¿pensarían que esta investigación fue útil o pensarían: "Um, estos tipos destrozarán nuestro sitio si no hacemos negocios con ellos " La gente no técnica se asustan con bastante facilidad por estas cosas, así que me pregunto si es un espectáculo de buena fe o una práctica comercial deficiente.

Answer 1

Yo diría que sorprender a la gente al realizar repentinamente pruebas de penetración de su software puede molestar a la gente, aunque sea simplemente por el hecho de que no lo sabían de antemano.Yo diría que si va a hacer esto (y creo que es algo bueno), informe a sus clientes con anticipación que lo va a hacer.Si parecen un poco perturbados por esto, dígales los beneficios de comprobar si hay errores humanos desde el punto de vista del atacante en un entorno controlado.Después de todo, incluso los más seguros cometen errores:la vulnerabilidad Debian PRNG es un buen ejemplo de esto.

Answer 2

Creo que esta es una decisión bastante subjetiva y diferentes prospectos reaccionarían de manera diferente si se los dijeras.

Creo que una idea podría ser informarles después de haberle dado negocios a otra persona.

Al menos de esta manera, el ex prospecto no pensará que usted está tratando de presionarlo para que le dé el negocio.

Answer 3

Creo que el problema con esto sería que sería bastante difícil realizar comprobaciones en XSS sin estropear su sitio.Además, cosas como la inyección SQL pueden ser bastante peligrosas.Si se limitó a agregar selecciones, es posible que no tenga demasiado problema, pero la pregunta es: ¿cómo sabe que está ejecutando el SQL inyectado?

Answer 4

Por la forma en que lo describió, parece una mala práctica comercial que podría ser beneficiosa con algunas modificaciones.

Antes que nada, cualquier Se debe acordar la evaluación de vulnerabilidad o la prueba de penetración que realice en un cliente. escrito por ese cliente, punto.Esto cubre sus acciones legalmente.Sin un acuerdo escrito, si inadvertidamente causa daños (caída de la aplicación, denegación de servicio, fuga de datos, etc.) durante su inspección, será responsable y se le podrían cobrar (según la ley de EE. UU.;otros países tienen estándares diferentes).

Incluso si usted no causa daño, un cliente despistado o potencialmente malicioso podría llevarlo a los tribunales reclamando daños;un juez despistado podría simplemente otorgarlos.

Si tiene autorización por escrito para hacerlo, entonces una evaluación de vulnerabilidad gratuita para atraer clientes potenciales suena como una muestra de buena fe y demuestra lo que desea: sus habilidades.