Wir haben viele offene Gespräche mit potenziellen Kunden und fragen häufig nach unserem technischen Know-how, einschließlich des Umfangs der Arbeit für unsere aktuellen Projekte. Das erste, was ich tue, um die Expertise der Mitarbeiter zu messen, die sie jetzt oder früher benutzt haben, ist die Überprüfung auf Sicherheitslücken wie XSS und SQL-Injection. Ich muss noch einen potenziellen Kunden finden, der verwundbar ist, aber ich begann mich zu fragen, ob diese Untersuchung tatsächlich hilfreich war, oder würden sie denken, "ähm, diese Jungs werden unsere Seite zerstören, wenn wir keine Geschäfte mit ihnen machen . " Nicht-technische Leute werden durch dieses Zeug ziemlich erschrocken, also frage ich mich, ob dies eine Show von gutem Glauben oder eine schlechte Geschäftspraxis ist?Informieren Sie potenzielle Kunden über Sicherheitslücken?
Antwort
Ich würde sagen, dass überraschende Menschen durch plötzliche Penetrationstests ihre Software stören können, wenn sie einfach dafür sind, dass sie vorher nicht wussten. Ich würde sagen, wenn Sie dies tun (und ich glaube, es ist eine gute Sache zu tun), informieren Sie Ihre Kunden im Voraus, dass Sie dies tun werden. Wenn sie dadurch ein wenig verwirrt scheinen, sagen Sie ihnen, wie vorteilhaft es ist, aus Sicht des Angreifers in einer kontrollierten Umgebung auf menschliche Fehler zu prüfen. Schließlich machen auch die sichersten Fehler: Die Debian-PRNG-Schwachstelle ist ein gutes Beispiel dafür.
Ich denke, das Problem damit wäre, dass es ziemlich schwierig wäre, Überprüfungen auf XSS zu machen, ohne ihre Seite zu vermasseln. Auch Dinge wie SQL-Injection könnten ziemlich gefährlich sein. Wenn Sie mit anhängigen Auswahlelementen festgefahren sind, haben Sie möglicherweise kein allzu großes Problem, aber dann stellt sich die Frage, woher wissen Sie, dass es sogar das injizierte SQL ausführt?
Ich denke, das ist eine ziemlich subjektive Entscheidung und unterschiedliche Aussichten würden anders reagieren, wenn Sie es ihnen sagen würden.
Ich denke, eine Idee könnte sein, sie wissen zu lassen, nachdem sie jemand anderem etwas gegeben haben.
Zumindest auf diese Weise wird die Ex-Perspektive nicht denken, dass Sie versuchen, sie unter Druck zu setzen, Ihnen das Geschäft zu geben.
Wie Sie es beschrieben haben, scheint es eine schlechte Geschäftspraxis zu sein, die mit einigen Modifikationen nützlich sein könnte.
First off, jeder Vulnerability Assessment oder Penetration Test, den Sie im Auftrag eines Kunden durchführen soll von diesem Kunden, Frist schriftlich auf vereinbart werden. Dies deckt Ihre Handlungen rechtlich ab. Ohne eine schriftliche Vereinbarung sind Sie haftbar und könnten belastet werden (nach US-Recht; andere Länder haben andere Standards), wenn Sie während Ihrer Inspektion unbeabsichtigt Schaden anrichten (Anwendungsabsturz, Denial-of-Service, Datenverlust, usw.).
Auch wenn Sie keinen Schaden verursachen, könnte ein ahnungsloser oder potenziell böswilliger Kunde Sie vor Gericht bringen und Schadenersatz fordern; ein ahnungsloser Richter könnte sie einfach vergeben.
Wenn Sie eine Autorisierung dafür haben, dann klingt eine kostenlose Schwachstellenanalyse, um potenzielle Kunden anzulocken, wie eine Show von Treu und Glauben und demonstriert, was Sie wollen - Ihre Fähigkeiten.
- 1. Informieren Sie alle Teilnehmer über merge Anfrage
- 2. ViewModel über ValidatesOnExceptions-Eingabefehler informieren
- 3. Welche Bücher sollte ich meinem Kunden empfehlen, um sich über Webanwendungen zu informieren?
- 4. Tinymce 4.0.28 Sicherheitslücken
- 5. Gibt es in diesem PHP-Registrierungscode Sicherheitslücken?
- 6. Testen auf Sicherheitslücken in Webanwendungen
- 7. Überprüfen Sie potenzielle Arbeitgeber auf den Bewertungsseiten - sind sie genau?
- 8. So blockieren und informieren Sie Threads
- 9. Potenzielle Ausfallzeit während MSI-Upgrades
- 10. Wie kann ich swagger-codgen über meinen benutzerdefinierten Generator informieren?
- 11. Plone-Nachrichteneinrichtung, um Benutzer über Wartungsausfallzeiten zu informieren
- 12. Wie kann ich libxml-ruby über externe Entitätsdateien informieren?
- 13. Informieren Sie sich über eine Rechnung und geben Sie die Anzahl der Rechnungspositionen mit einem einzigen SELECT-Befehl zurück.
- 14. Soll hg commit Fogbugz informieren?
- 15. Potenzielle Joomla-Komponente Inkompatibilität mit EventGallery
- 16. Findbugs finden keine potenzielle SQL-Injection-Schwachstelle
- 17. Informieren Sie sich über Klone, einzigartige Klone, Ansichten und Unique Visitors Github API
- 18. Gibt es Sicherheitslücken in diesem PHP-Code?
- 19. Eclipse "potenzielle Ressource Leck" Warnung nicht korrekt
- 20. C# -Klasse zur Behebung von Internet-Sicherheitslücken
- 21. Testen auf Sicherheitslücken in Webanwendungen: Best Practices?
- 22. MVC3 URL-Parameter - Vermeidung böswilliger Angriffe/Sicherheitslücken
- 23. Wahlsystem/Motor für Kunden?
- 24. Sicherheitslücken in ziemlich einfachem c code
- 25. Kunden authentifizieren
- 26. erhält Datensatz von Kunden, die keine Kommentare über Waren
- 27. Informieren Sie Browser-Clients, wenn die Lambda-Funktion mit Amazon SQS ausgeführt wird
- 28. Informieren Sie Haskell, dass `(Reverse (Reverse xs)) ~ xs`
- 29. Delegierte: Informieren Sie die Operationen auf die obere Ebene
- 30. Informieren Sie sich, wenn ein Netzwerkkabel eingesteckt ist/Wifi verbunden
Aber wenn sie nicht gegen es normalerweise schützen, sind sie normalerweise die richtigen Leute, um die Software zu entwickeln? – Ross