原始问题:
我们的一个附属合作伙伴有一个容易受到 SQL 注入攻击的网站。
我们偶然注意到了这一点(URL 中的错字触发了一个信息量巨大的错误页面)。
现在我们不太了解这个附属合作伙伴。一周前,我们开始与他们开展业务。他们自己的技术技能很少;他们的网站是由“做网站”的第三家公司为他们开发的。
现在很明显,我们应该警告他们这个问题。但是我们有点担心,如果我们将问题告知他们,他们会害怕并且不再信任我们(射击信使以使问题消失)。
你们中有人遇到过这种情况吗?你做了什么?
另外一件事是:
因为开发网站的公司似乎根本没有进行输入验证/清理,所以我们对这家公司没有很大的信心。虽然这不是我们关心的问题,但我们认为我们应该警告我们的附属合作伙伴,因为他们系统的其余部分可能缺乏安全性和质量。这将使我们与他们的开发人员正面交锋,我们不想卷入他们与我们的情况。
我们应该通知他们我们的其他担忧吗?还是您建议顺其自然?
更新:
那么,事情进展如何?
我们通知了他们存在的问题,包括背景信息、详细的错误报告,并试图用简单的人类语言解释问题是什么以及为什么它很严重。
他们感谢我们,将信息传递给他们的网站开发人员,他们已经修复了它。
我们不太确定修复的质量,但我们对此无能为力,这不是我们的责任。(虽然这确实是我们的责任,但自从我们报告了它之后更是如此)。
然而,关系发生了变化。它们不那么开放,而且反应比以前更加保留。我们希望这种情况在未来会变得更好,但确实感觉报告问题会损害对这种关系的信任。
因此,如果您发现自己处于相同的位置,请小心,花时间解释问题并为不太理想的反应做好准备。