잠재 고객에게 보안 취약점에 대해 알리시겠습니까?

Question

우리는 잠재 고객과 공개 토론을 많이 하며 그들은 현재 프로젝트의 작업 범위를 포함하여 우리의 기술 전문 지식 수준에 대해 자주 질문합니다.현재 또는 이전에 사용했던 직원의 전문 지식 수준을 측정하기 위해 제가 가장 먼저 하는 일은 XSS 및 SQL 삽입과 같은 보안 취약점을 확인하는 것입니다.나는 아직 취약한 잠재 고객을 찾지 못했지만, 나는 그들이 실제로이 조사가 도움이되었다고 생각하거나 생각할 것인가? . " 비 기술적 인 사람들은이 일에 꽤 쉽게 무서워지기 때문에 이것이 선의의 쇼입니까, 아니면 불쌍한 사업 관행인지 궁금합니다.

Answer 1

나는 갑자기 소프트웨어에 대한 침투 테스트를 통해 사람들을 놀라게 하는 것이 단지 그들이 미리 알지 못했다는 사실 때문에 사람들을 괴롭히게 될 수 있다고 말하고 싶습니다.나는 당신이 이것을 할 예정이라면(나는 그것이 좋은 일이라고 믿습니다), 당신이 이것을 할 것이라고 미리 고객에게 알리라고 말하고 싶습니다.이로 인해 약간 혼란스러워 보인다면 통제된 환경에서 공격자의 관점에서 인적 오류를 확인하는 것의 이점에 대해 알려주십시오.결국, 가장 안전한 마음을 가진 사람이라도 실수를 저지릅니다.Debian PRNG 취약점이 이에 대한 좋은 예입니다.

Answer 2

나는 이것이 상당히 주관적인 결정이라고 생각하며, 당신이 그들에게 말하면 다양한 잠재 고객이 다르게 반응할 것입니다.

내 생각에는 다른 사람에게 사업을 제공한 후에 알려주는 것이 좋을 것 같습니다.

최소한 이런 식으로 전직 잠재 고객은 당신이 당신에게 사업을 제공하도록 압력을 가하려고 한다고 생각하지 않을 것입니다.

Answer 3

내 생각에 이것의 문제는 사이트를 엉망으로 만들지 않고 XSS를 검사하는 것이 꽤 어렵다는 것입니다.또한 SQL 주입과 같은 작업은 매우 위험할 수 있습니다.선택 항목을 추가하는 데만 매달렸다면 큰 문제가 없을 수도 있지만, 주입된 SQL이 실행되고 있는지 어떻게 알 수 있습니까?

Answer 4

설명하신 방식으로 볼 때, 약간 수정하면 유익할 수 있는 열악한 비즈니스 관행처럼 보입니다.

우선, 어느 고객을 대상으로 수행하는 취약성 평가 또는 침투 테스트에 대한 합의가 필요합니다. 서면으로 그 고객에 의해, 기간.여기에는 귀하의 법적 행위가 포함됩니다.서면 동의 없이 검사 중에 의도치 않게 손상(응용 프로그램 충돌, 서비스 거부, 데이터 유출 등)을 초래한 경우 책임이 있으며 기소될 수 있습니다(미국 법률에 따라;다른 나라에는 다른 기준이 있습니다).

귀하가 피해를 입히지 않더라도, 아무것도 모르거나 잠재적으로 악의적인 고객이 귀하를 법원에 데려가 손해 배상을 청구할 수 있습니다.무지한 판사가 그냥 상을 줄 수도 있습니다.

서면 승인을 받은 경우 잠재 고객을 유치하기 위한 무료 취약성 평가는 선의의 표시처럼 들리며 귀하가 원하는 것, 즉 귀하의 기술을 보여줍니다.