潜在的な顧客にセキュリティの脆弱性について知らせますか?
-
09-06-2019 - |
質問
私たちは潜在的なクライアントと多くのオープンな議論を行っており、彼らは現在のプロジェクトの作業範囲を含む、私たちの技術的専門知識のレベルについて頻繁に質問します。現在、または以前に使用していたスタッフの専門知識のレベルを評価するために私が最初に行うことは、XSS や SQL インジェクションなどのセキュリティの脆弱性をチェックすることです。私はまだ脆弱な潜在的なクライアントを見つけていませんが、私は彼らが実際にこの調査が役立つと思うだろうか、または彼らは「ええと、私たちが彼らとビジネスをしなければ私たちのサイトを捨てるだろうと思うだろうかと思い始めました。」非技術的な人々は、このようなものでかなり簡単に怖くなりますので、これは誠実なショーですか、それとも貧しいビジネス慣行ですか?
解決
ソフトウェアの侵入テストを突然行って人々を驚かせることは、単に事前に知らなかったという事実だけで人々を困らせる可能性があると思います。これを行うつもりなら(そしてそれが良いことだと私は信じていますが)、事前にクライアントにこれを行うつもりであることを伝えておくべきだと思います。これに彼らが少し取り乱しているように見える場合は、管理された環境で攻撃者の観点から人為的エラーをチェックする利点を伝えてください。結局のところ、最も安全な思考を持っている人でも間違いを犯すのです。Debian PRNG の脆弱性はその好例です。
他のヒント
これはかなり主観的な決定であり、見込み客が異なれば、それを伝えれば反応も異なると思います。
他の人に仕事を譲った後に知らせるというアイデアもあると思います。
少なくともこうすれば、元見込み客はあなたがあなたにビジネスを与えるよう圧力をかけようとしているとは思わないでしょう。
これの問題は、サイトを台無しにすることなく XSS のチェックを行うのが非常に難しいことだと思います。また、SQL インジェクションなどは非常に危険な可能性があります。選択を追加することにこだわった場合は、それほど大きな問題は起こらないかもしれませんが、問題は、挿入された SQL が実行されていることをどうやって知ることができるのかということです。
あなたの説明の仕方からすると、これは不適切なビジネス慣行のように思えますが、少し修正すれば有益なものになる可能性があります。
最初に、 どれでも 顧客に対して実施する脆弱性評価または侵入テストには同意する必要があります 書面で その顧客によるものです。これはあなたの行動を法的にカバーします。書面による合意がない場合、検査中に不注意で損害 (アプリケーションのクラッシュ、サービス妨害、データ漏洩など) を引き起こした場合、責任を負い、罰せられる可能性があります (米国の法律に基づき、他の国では基準が異なります)。
あなたが損害を与えなかったとしても、無知な顧客、または潜在的に悪意のある顧客があなたを損害賠償を請求する訴訟を起こす可能性があります。無知な裁判官は単に彼らに賞を与えるかもしれない。
書面による許可を得ている場合、潜在的な顧客を引き付けるために無料の脆弱性評価を行うことは、誠意の表れのように聞こえ、あなたが望んでいること、つまりあなたのスキルを証明することになります。