Làm cách nào để thông báo cho ai đó rằng trang web của họ dễ bị tấn công SQL injection?

Question

Câu hỏi gốc:
Đối tác liên kết của chúng tôi có trang web dễ bị SQL injection.

Chúng tôi nhận thấy điều này một cách tình cờ (lỗi chính tả trong một URL đã kích hoạt một trang lỗi rất nhiều thông tin).

Bây giờ chúng tôi không biết đối tác liên kết này rất tốt. Chúng tôi bắt đầu kinh doanh với họ chỉ một tuần trước. Bản thân họ có rất ít kỹ năng kỹ thuật; trang web của họ được phát triển cho họ bởi một công ty thứ ba 'trang web'.

Bây giờ rõ ràng là chúng ta nên cảnh báo họ về vấn đề này. Nhưng chúng tôi có một chút lo lắng rằng nếu chúng tôi thông báo cho họ về vấn đề họ sợ hãi và không tin tưởng chúng tôi nữa (quay người đưa tin để làm cho vấn đề biến mất).

Bạn đã từng ở trong tình huống này chưa? bạn đã làm gì?

Một điều nữa là:
Bởi vì công ty phát triển website không xuất hiện để làm đầu vào xác nhận/vệ sinh ở tất cả, chúng tôi không có nhiều niềm tin vào công ty này. Trong khi đó không phải là mối quan tâm của chúng tôi, chúng tôi cảm thấy rằng chúng tôi nên cảnh báo đối tác liên kết của chúng tôi về khả năng thiếu an ninh và chất lượng trong phần còn lại của hệ thống của họ. Điều này sẽ khiến chúng tôi phải đối mặt với nhà phát triển của họ, và chúng tôi không muốn tham gia vào họ với tình huống của chúng tôi.

Chúng tôi có nên thông báo cho họ về các mối quan tâm bổ sung của chúng tôi không? hoặc bạn có lời khuyên để cho nó được?

Cập nhật:
Vì vậy, làm thế nào điều đi đâu?

Chúng tôi đã thông báo cho họ về sự cố hiện tại, bao gồm thông tin cơ bản, báo cáo lỗi chi tiết và cố giải thích bằng ngôn ngữ đơn giản của con người về vấn đề và lý do nghiêm trọng.

Họ cảm ơn chúng tôi, đã chuyển thông tin cho nhà phát triển trang web của họ, những người đã sửa nó.
Chúng tôi không hoàn toàn chắc chắn về chất lượng của bản sửa lỗi, nhưng không có gì chúng tôi có thể làm về điều đó và nó không phải là trách nhiệm của chúng tôi. (Mặc dù nó cảm thấy như trách nhiệm của chúng tôi, thậm chí nhiều hơn như vậy kể từ khi chúng tôi báo cáo nó).

Tuy nhiên, mối quan hệ đã thay đổi. Họ ít cởi mở hơn và có nhiều phản hồi hơn trước đây. Chúng tôi hy vọng rằng điều này sẽ thay đổi tốt hơn trong tương lai, nhưng chắc chắn cảm thấy như báo cáo sự cố đã làm hỏng sự tin tưởng trong mối quan hệ này.

Vì vậy, nếu bạn từng thấy mình ở cùng một vị trí, hãy cẩn thận, dành thời gian của bạn để giải thích vấn đề và chuẩn bị cho một phản ứng ít hơn tối ưu.

Answer 1

Mang nó lên. Nếu nó phá hủy mối quan hệ, tốt hơn bây giờ khi các công ty của bạn có một mối quan hệ gần gũi hơn, để khi họ bị tấn công vào chủ nhật tới, nó cũng làm bạn tổn thương.

Answer 2

Bạn nói với họ. Giai đoạn.

Họ sẽ quay người đưa tin? Có lẽ. Nhưng nếu họ làm sau đó bạn có thực sự muốn được trong kinh doanh với họ?

Thực tế hơn, nếu họ gặp sự cố với trang web khiến họ tốn nhiều tiền do một cuộc tấn công như vậy và nếu bạn biết điều đó và không làm gì, bạn có thể gặp phải một số vấn đề về trách nhiệm pháp lý .

Không chỉ là điều đúng đắn để làm (nói với họ) mà bạn có trách nhiệm nghề nghiệp để làm như vậy.

Answer 3

Cho họ biết càng sớm càng tốt. Nếu họ không thích nó, họ có lẽ không nên là đối tác của bạn.

Answer 4

Về mặt đạo đức, tôi có thể nói bạn không thể để điều đó xảy ra. Sự lựa chọn của bạn nên được thông báo cho cá nhân họ, hoặc thông báo cho họ một cách nặc danh. Tôi gửi email mọi lúc mọi thứ từ các lỗ hổng bảo mật đến các liên kết hoặc hình ảnh bị hỏng.

Answer 5

Tôi nghĩ rằng hãy liên hệ với họ và giải thích về việc tấn công SQL Injection là gì và cách khắc phục nó. và để họ đối phó với công ty đã phát triển trang web của họ. Nó sẽ cho họ thấy rằng bạn đang tìm kiếm sự quan tâm tốt nhất của họ và tôi không thể thấy họ nhận tội, trung thực.

Chúc may mắn

Answer 6

Tôi đã ở trong tình huống này ... và tôi sẽ nói cẩn thận và rất khéo léo.

Theo kinh nghiệm của riêng tôi, đó là một trang web công cộng mà tôi không có liên kết, và họ cảnh giác đến mức họ nghi ngờ ý định cho họ biết trang web của họ dễ bị tổn thương (đến mức tín dụng thông tin thẻ có thể đã bị lộ).

Answer 7

Thông báo cho họ ngay lập tức, tốt nhất là tham khảo ý kiến ​​luật sư của công ty bạn trước. Một phản ứng hoảng loạn có thể là một phản bội.

Nếu bạn làm điều này một cách thân thiện, thân thiện và hữu ích, họ có thể thực sự tìm đến bạn để giúp họ giải quyết nó, vì vậy hãy chuẩn bị sẵn sàng để phản hồi điều đó. (Có thể là tốt hay xấu tùy thuộc vào bạn muốn làm việc hte, hoặc không muốn gánh nặng lộn xộn).

Answer 8

Bạn có thể cụm từ theo cách sao cho công ty của bạn yêu cầu tất cả nhà cung cấp và đối tác cung cấp bằng chứng cho thấy việc kiểm tra bảo mật đã được thực hiện. Các yêu cầu kiểm toán có thể bao gồm kiểm tra việc tiêm SQL và bạn có thể bao gồm một phần trong "tài liệu yêu cầu bảo mật" của bạn liên kết đến một số trang thông tin. Nếu họ không trả lời hoặc thừa nhận thì bạn đã hoàn thành nghĩa vụ của mình trong việc làm cho họ nhận thức được khả năng và bằng cách bỏ qua vấn đề họ đã mất kinh doanh của bạn.

Answer 9

Điều này thực sự giống với câu hỏi đạo đức của "Nếu ai đó bị xe đụng, bạn có dừng lại và giúp đỡ và mạo hiểm bị kiện hoặc đứng đó và xem không?"

Tôi muốn nói với họ, nhưng thay vì nói "Tôi tìm thấy một lỗ hổng bảo mật nghiêm trọng trong mã của bạn", tôi muốn nói một cái gì đó như:

"Này - Chúng tôi đã nhận một thông báo lỗi trên trang web của bạn và Tôi nghĩ nó có thể có một số thông tin nhạy cảm trong đó. Chúng ta có thể xem cái này không? " và sau đó đi qua chúng, nhẹ nhàng và cẩn thận.

Bạn cần phải nói cho họ biết, nhưng không phải theo cách của người chơi.

Answer 10

Tôi muốn chia sẻ mối quan tâm với bất kỳ ai là khuôn mặt của tổ chức của bạn với khách hàng. Họ nên quyết định cách tiếp cận và đối phó với khách hàng rằng họ có sự hiểu biết tốt nhất.

Answer 11

Legaly đổi tên thành "Bobby '; Thả người dùng bảng;"

Sau đó, đăng ký tài khoản trên trang web của họ. Điều này sẽ khiến họ chú ý.

CẢNH BÁO: Văn bản trên là một trò đùa, đừng cố gắng ở nhà.

Answer 12

Gửi cho họ thư bảo đảm (theo dõi được, chỉ ra vấn đề này là rất quan trọng và đòi hỏi sự chú ý ngay lập tức, và các dấu vết giấy tờ có thể hữu ích nếu họ quyết định đưa vấn đề thông qua luật sư của họ):

Dear Sir,

Gần đây, chúng tôi đã nhận thấy lỗ hổng trong trang web của bạn mà có thể dẫn đến gián đoạn dịch vụ của chúng tôi và có thể mất dữ liệu hoặc tệ hơn. Như chúng tôi phụ thuộc vào (chèn tên sản phẩm tại đây) cho một phần của các dịch vụ của chúng tôi, chúng tôi quan tâm đến vấn đề này được giải quyết nhanh chóng. Như như vậy, chúng tôi khuyên các dịch vụ bảo mật sau đó chúng ta có sử dụng thành công trong các dự án của chúng ta để xác minh khả năng miễn dịch để phổ biến nhất vấn đề:

(danh sách 2-3 tốt các công ty kiểm toán an ninh đây)

Chúng tôi định kỳ yêu cầu tất cả các nhà cung cấp gửi cho bên thứ ba an ninh thử nghiệm như một khóa học thông thường của doanh nghiệp, tuy nhiên mức độ khẩn cấp của vấn đề này là chúng tôi cảm thấy điều quan trọng là cảnh báo bạn ediately.

Chúng tôi đánh giá cao sự quan tâm nhanh chóng của bạn tới vấn đề này.

Trân trọng,
(giám đốc CNTT, xyz corp)

Không chỉ định các lỗ hổng. Điều này sẽ cung cấp cho họ một lý do để làm một kiểm toán an ninh đầy đủ, thay vì chỉ gửi mối quan tâm của bạn cho anh chàng dev, sửa chữa một điều, và sau đó yêu cầu một hóa đơn sạch của sức khỏe. Nếu họ yêu cầu,

Tôi xin lỗi, cho chính chúng ta và pháp luật bảo vệ bạn, chúng tôi không được phép tiết lộ chi tiết cụ thể của bất kỳ vấn đề bảo mật để bất kỳ ai trừ NDA và lẫn nhau từ bỏ trách nhiệm pháp lý. Đó là một bản chất đơn giản của một công ty an ninh có thẩm quyền sẽ giải quyết nó.

Nếu sản phẩm bạn đang sử dụng có tính chất tài chính, bạn có thể đơn giản yêu cầu họ gửi chương trình loại "phê duyệt" từ một công ty kiểm toán lớn (ví dụ như verisign) và ngừng dịch vụ không có con dấu kiểm tra an ninh đó.

-Adam