Informar os potenciais clientes sobre vulnerabilidades de segurança?

Question

Nós temos um monte de abrir discussões com potenciais clientes, e eles perguntam frequentemente sobre o nosso nível de conhecimento técnico, incluindo o escopo de trabalho para os nossos projetos atuais.A primeira coisa que eu faço, a fim de avaliar o nível de conhecimento pessoal, que eles agora ou já usou-se a verificar vulnerabilidades de segurança como XSS e SQL injection.Eu ainda tenho que encontrar um potencial cliente, que é vulnerável, mas eu comecei a pensar, será que eles realmente acho que esta investigação foi útil, ou será que eles pensam, "hum, esses caras vão lixo nosso site se não fazemos negócio com eles." Não-técnicos pessoas se assustam muito facilmente por essas coisas, então eu estou querendo saber é que esta um show de boa-fé, ou uma má prática de negócios?

Answer 1

Eu diria que surpreender as pessoas de repente teste de penetração seu software pode incomodar as pessoas se simplesmente pelo facto de que eles não sabiam antes do tempo.Eu diria que se você estiver indo para fazer isso (e eu acredito que é uma boa coisa a se fazer), informar os seus clientes antes do tempo que você vai fazer isso.Se eles parecem um pouco perturbada por isso, diga-lhes os benefícios de verificação de erro humano a partir do invasor, do ponto de vista em um ambiente controlado.Depois de tudo, até mesmo a forma mais segura de espírito de cometer erros:o Debian PRNG vulnerabilidade é um bom exemplo disso.

Answer 2

Acho que isso é bastante subjetivo de decisão e diferentes perspectivas iria reagir de forma diferente se você disse a eles.

Eu acho que uma idéia pode ser para deixá-los saber que depois de ter dado negócio para alguém.

Pelo menos, desta forma, o ex-prospecto não vai pensar que você está tentando pressioná-los a dar-lhe o negócio.

Answer 3

Eu acho que o problema com esta seria, que seria muito difícil de fazer verificações de XSS sem prejudicar o seu site.Além disso, coisas como o de injeção de SQL pode ser bastante perigoso.Se você está preso com a acrescentar seleciona, você não pode ter muito de um problema, mas a pergunta é, como você sabe que é mesmo a executar o SQL injetado?

Answer 4

Da forma que você descreveu, parece uma má prática comercial que poderia ser benéfico com algumas modificações.

Primeiro, qualquer avaliação de vulnerabilidade ou teste de penetração que a sua conduta em um cliente, deve ser acordado na escrita por que o cliente, período.Este cobre suas ações legalmente.Sem um acordo escrito, se você inadvertidamente causar dano (acidente de aplicação, os ataques de negação de serviço, vazamento de dados, etc) durante a sua inspecção, você é responsável e pode ser cobrado (sob a lei dos EUA;outros países têm diferentes padrões).

Mesmo se não causar danos, um ignorante ou potencialmente maliciosos, o cliente poderia levá-lo ao tribunal alegando danos;um ignorante juiz só poderia dar-lhes.

Se você tem uma autorização por escrito para fazê-lo, em seguida, uma graça de avaliação de vulnerabilidade para atrair clientes potenciais soa como uma demonstração de boa fé e demonstra que você deseja -- suas habilidades.