Informare i potenziali clienti sulle vulnerabilità della sicurezza?
https://stackoverflow.com/questions/52830
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Abbiamo molte discussioni aperte con potenziali clienti e loro ci chiedono spesso il nostro livello di competenza tecnica, compreso l'ambito di lavoro per i nostri progetti attuali.La prima cosa che faccio per valutare il livello di esperienza del personale che hanno ora o che hanno utilizzato in precedenza è verificare la presenza di vulnerabilità della sicurezza come XSS e SQL injection.Devo ancora trovare un potenziale cliente vulnerabile, ma ho iniziato a chiedermi, penserebbero davvero che questa indagine sia stata utile, o penserebbero: "Uhm, questi ragazzi distruggeranno il nostro sito se non facciamo affari con loro . " Le persone non tecniche si spaventano abbastanza facilmente da questa roba, quindi mi chiedo che questo sia uno spettacolo di buona fede o una scarsa pratica commerciale?
Soluzione
Direi che sorprendere le persone effettuando improvvisamente test di penetrazione del loro software può disturbare le persone semplicemente per il fatto che non lo sanno in anticipo.Direi che se hai intenzione di farlo (e credo che sia una buona cosa da fare), informa i tuoi clienti in anticipo che lo farai.Se sembrano un po' sconvolti da questo, spiega loro i vantaggi di controllare l'errore umano dal punto di vista dell'aggressore in un ambiente controllato.Dopotutto, anche chi ha una mentalità più sicura commette errori:la vulnerabilità Debian PRNG ne è un buon esempio.
Altri suggerimenti
Penso che questa sia una decisione abbastanza soggettiva e diversi potenziali clienti reagirebbero in modo diverso se glielo dicessi.
Penso che un'idea potrebbe essere quella di farglielo sapere dopo che hanno affidato affari a qualcun altro.
Almeno in questo modo, l'ex potenziale cliente non penserà che stai cercando di spingerlo a darti l'attività.
Penso che il problema sarebbe che sarebbe piuttosto difficile eseguire controlli su XSS senza rovinare il loro sito.Inoltre, cose come l’SQL injection potrebbero essere piuttosto pericolose.Se rimani bloccato con l'aggiunta delle selezioni, potresti non avere troppi problemi, ma la domanda è: come fai a sapere che sta eseguendo l'SQL iniettato?
Dal modo in cui l'hai descritta, sembra una cattiva pratica commerciale che potrebbe essere vantaggiosa con qualche modifica.
Prima di tutto, Qualunque la valutazione della vulnerabilità o il test di penetrazione da condurre su un cliente dovrebbero essere concordati per iscritto da quel cliente, punto.Questo copre le tue azioni legalmente.Senza un accordo scritto, se causi inavvertitamente danni (arresto anomalo dell'applicazione, negazione del servizio, perdita di dati, ecc.) durante l'ispezione, sei responsabile e potresti essere accusato (ai sensi della legge statunitense;altri paesi hanno standard diversi).
Anche se non causi danni, un cliente incompetente o potenzialmente malintenzionato potrebbe portarti in tribunale chiedendo il risarcimento dei danni;un giudice incapace potrebbe semplicemente assegnarli.
Se hai un'autorizzazione scritta per farlo, una valutazione gratuita delle vulnerabilità per attirare potenziali clienti suona come una dimostrazione di buona fede e dimostra ciò che desideri: le tue capacità.
