Informer les clients potentiels sur les failles de sécurité?

Question

Nous avons beaucoup de discussions ouvertes avec les clients potentiels, et ils demandent souvent sur notre niveau d'expertise technique, y compris la portée du travail pour nos projets en cours.La première chose que je fais, afin de mesurer le niveau d'expertise sur les employés qu'ils ont actuellement ou ont déjà utilisé consiste à vérifier les failles de sécurité comme XSS et les injections de code SQL.Je n'ai pas encore trouver un client potentiel qui est vulnérable, mais j'ai commencé à me demander, s'ils le pense en fait que cette enquête a été utile, ou penseraient-ils, "um, ces gars-là va corbeille notre site si nous ne faisons pas affaire avec eux." Non technique, les gens ont peur assez facilement par ce genre de choses, alors je me demandais est-ce un spectacle de bonne foi, ou une mauvaise pratique d'affaires?

Answer 1

Je dirais que des gens surprenants par soudain, test de pénétration, leur logiciel peut déranger les gens, si tout simplement pour le fait qu'ils ne savaient pas à l'avance.Je dirais que si vous allez le faire (et je crois que c'est une bonne chose à faire), informer vos clients à l'avance que vous allez le faire.Si elles semblent un peu désemparé par cette, leur dire les avantages de la vérification de l'erreur humaine de l'attaquant du point de vue dans un environnement contrôlé.Après tout, même les plus solidement à l'esprit de faire des erreurs:la Debian PRNG la vulnérabilité est un bon exemple de cela.

Answer 2

Je pense que c'est assez subjectif de décision et les différentes perspectives réagirait différemment si vous leur avez dit.

Je pense que l'idée pourrait être de les laisser savoir, après qu'ils ont donné à quelqu'un d'autre.

Au moins de cette façon, l'ex-prospect pense pas que vous êtes en essayant de faire pression sur eux en vous donnant de l'entreprise.

Answer 3

Je pense que le problème avec ce serait, qu'il serait très difficile de procéder à des vérifications sur XSS sans perturber le fonctionnement de leur site.Aussi, des choses comme l'injection SQL peut être très dangereux.Si vous êtes bloqué avec ajout sélectionne, vous pourriez ne pas avoir trop de problème, mais alors la question est, comment savez-vous que c'est même l'exécution de l'injection SQL?

Answer 4

De la façon dont vous l'avez décrit, il semble comme une mauvaise pratique d'affaires qui pourrait être un effet bénéfique sur l'un avec certaines modifications.

Tout d'abord, tout l'évaluation de la vulnérabilité ou de test de pénétration de vous mener à la clientèle devrait être convenu dans l'écriture par le client, la période.Ce couvre vos actions légalement.Sans un accord écrit, si vous avez, par inadvertance causer des dommages (plantage de l'application, déni de service, fuite de données, etc) lors de votre inspection, vous êtes responsable et peut être chargé (en vertu de la loi américaine;d'autres pays ont des normes différentes).

Même si vous ne causent pas de dommages, un ignorant, ou potentiellement malveillants client pourrait vous prendre tribunal pour demander des dommages et intérêts;un paumé juge pourrait simplement leur accorder.

Si vous avez l'autorisation écrite de le faire, alors gratuitement une évaluation de la vulnérabilité afin d'attirer d'éventuels clients sonne comme un spectacle de bonne foi et témoigne de ce que vous voulez, vos compétences.