我们与潜在客户进行了很多公开讨论,他们经常询问我们的技术专长水平,包括我们当前项目的工作范围。为了衡量他们现在或以前使用过的员工的专业水平,我做的第一件事是检查 XSS 和 SQL 注入等安全漏洞。我还没有找到易受攻击的潜在客户,但我开始怀疑,他们是否真的认为这项调查有帮助,或者他们是否会认为,“嗯,如果我们不与他们做生意,这些人会破坏我们的网站。” 非技术人员很容易被这些东西吓到,所以我想知道这是一种善意的表现,还是一种糟糕的商业行为?
4 回答
我会说,突然对他们的软件进行渗透测试让人们感到惊讶,如果仅仅是因为他们没有提前知道这一事实,那么他们可能会打扰他们。我会说,如果您要这样做(我相信这是一件好事),请提前通知您的客户您将要这样做。如果他们似乎对此有点心烦意乱,请告诉他们在受控环境中从攻击者的角度检查人为错误的好处。毕竟,即使是最有安全感的人也会犯错误:Debian PRNG 漏洞就是一个很好的例子。
我认为这是一个相当主观的决定,如果你告诉他们,不同的潜在客户会有不同的反应。
我认为一个想法可能是在他们将业务交给其他人之后让他们知道。
至少这样,前潜在客户不会认为你是在试图向他们施压,让他们把生意交给你。
我认为这样做的问题是,如果不弄乱他们的网站,就很难对 XSS 进行检查。此外,诸如 SQL 注入之类的事情可能非常危险。如果你坚持附加选择,你可能不会有太多问题,但问题是,你怎么知道它甚至在执行注入的 SQL?
从您描述的方式来看,这似乎是一种糟糕的商业实践,经过一些修改可能是有益的。
首先,您对客户进行的任何漏洞评估或渗透测试都应得到该客户的书面同意。这合法地涵盖了您的行为。在没有书面协议的情况下,如果您在检查过程中无意造成损坏(应用程序崩溃、拒绝服务、数据泄露等),您将承担责任并可能被收费(根据美国法律;其他国家/地区有不同的标准)。
即使您没有造成损害,无知或潜在恶意的客户也可能将您告上法庭,要求赔偿;一个无知的法官可能只会判给他们。
如果您有这样做的书面授权,那么吸引潜在客户的免费漏洞评估听起来像是一种诚意的表现,并展示了您想要的东西——您的技能。