12

原始问题:
我们的一个附属合作伙伴有一个容易受到 SQL 注入攻击的网站。

我们偶然注意到了这一点(URL 中的错字触发了一个信息量巨大的错误页面)。

现在我们不太了解这个附属合作伙伴。一周前,我们开始与他们开展业务。他们自己的技术技能很少;他们的网站是由“做网站”的第三家公司为他们开发的。

现在很明显,我们应该警告他们这个问题。但是我们有点担心,如果我们将问题告知他们,他们会害怕并且不再信任我们(射击信使以使问题消失)。

你们中有人遇到过这种情况吗?你做了什么?

另外一件事是:
因为开发网站的公司似乎根本没有进行输入验证/清理,所以我们对这家公司没有很大的信心。虽然这不是我们关心的问题,但我们认为我们应该警告我们的附属合作伙伴,因为他们系统的其余部分可能缺乏安全性和质量。这将使我们与他们的开发人员正面交锋,我们不想卷入他们与我们的情况。

我们应该通知他们我们的其他担忧吗?还是您建议顺其自然?



更新:
那么,事情进展如何?

我们通知了他们存在的问题,包括背景信息、详细的错误报告,并试图用简单的人类语言解释问题是什么以及为什么它很严重。

他们感谢我们,将信息传递给他们的网站开发人员,他们已经修复了它。
我们不太确定修复的质量,但我们对此无能为力,这不是我们的责任。(虽然这确实是我们的责任,但自从我们报告了它之后更是如此)。

然而,关系发生了变化。它们不那么开放,而且反应比以前更加保留。我们希望这种情况在未来会变得更好,但确实感觉报告问题会损害对这种关系的信任。

因此,如果您发现自己处于相同的位置,请小心,花时间解释问题并为不太理想的反应做好准备。

4

12 回答 12

14

你告诉他们。时期。

他们会射杀信使吗?也许。但如果他们这样做了,那么你真的想和他们做生意吗?

更务实的是,如果他们的网站出现问题,导致他们因此类攻击而损失大量资金,并且如果结果表明您知道它并且什么也没做,那么您可能会遇到一些责任问题。

这样做(告诉他们)不仅是正确的事情,而且您有这样做的职业责任。

于 2009-02-11T14:47:41.493 回答
12

提出来。如果它破坏了这种关系,现在比你们的公司建立更密切的关系要好,这样当他们下周日被黑时,你也会受到伤害。

于 2009-02-11T14:46:12.277 回答
6

从道德上讲,我会说你不能任其发展。您的选择应该是亲自通知他们,或匿名通知他们。我一直发送电子邮件,从安全漏洞到损坏的链接或图像。

于 2009-02-11T14:47:47.920 回答
4

尽快告诉他们。如果他们不喜欢它,他们可能不应该是你的合作伙伴。

于 2009-02-11T14:47:42.053 回答
4

我想联系他们并解释什么是 SQL 注入攻击以及如何克服它。并让他们与开发其网站的公司打交道。这将向他们表明您正在寻找他们的最大利益,老实说,我看不到他们冒犯。

祝你好运

于 2009-02-11T14:47:51.260 回答
4

这与“如果有人被车撞了,你是停下来帮助并冒着被起诉的风险还是站在那里看着”的道德问题非常相似。

我会告诉他们,但不是说“我在你的代码中发现了一个严重的安全漏洞”,而是说:

“嘿 - 我们在您的网站上收到一条错误消息,我认为其中可能包含一些敏感信息。我们可以看看这个吗?” 然后轻轻而小心地引导他们穿过它。

你确实需要告诉他们,但不是以枪炮轰轰烈烈的方式。

于 2009-02-11T14:54:45.843 回答
3

向他们发送经过认证的邮件(可跟踪,表明问题很重要并需要立即关注,如果他们决定通过律师提出问题,书面记录可能会很有用):

尊敬的先生,

最近,我们发现您的网站存在漏洞,该漏洞可能导致我们的服务中断,并可能导致数据丢失或更严重。由于我们依赖(在此处插入产品名称)提供部分服务,因此我们有兴趣快速解决此问题。因此,我们推荐以下我们已在我们自己的项目中成功使用的安全服务,以验证对最常见问题的免疫力:

(此处列出 2-3 家优秀的安全审计公司)

我们会定期要求所有供应商在正常的业务过程中提交第三方安全测试,但是这个特定问题的紧迫性使得我们认为立即提醒您很重要。

感谢您对此事的及时关注。

此致
(IT 经理, xyz corp)

不要指定漏洞。这将使他们有理由进行全面的安全审计,而不是仅仅将您的担忧发送给开发人员,修复一件事,然后要求一份干净的健康单。如果他们问,

很抱歉,为了我们自己和您的法律保护,我们不允许向任何人泄露任何安全问题的特定细节,除非根据 NDA 和相互责任豁免。它具有足够简单的性质,有能力的安全公司将解决它。

如果您使用的产品具有财务性质,那么您可以简单地要求他们提交来自主要审计公司(例如威瑞信)的“批准印章”类型的程序,并在没有安全审计印章的情况下停止服务。

-亚当

于 2009-02-11T16:25:54.720 回答
2

您可以这样表述,即您的公司要求所有供应商和合作伙伴提供已执行安全审计的证据。审计要求可能包括对 SQL 注入的检查,并且您可以在“安全要求文档”中包含一个链接到多个信息站点的部分。如果他们没有回应或承认,那么你已经尽了你的职责,让他们意识到这种可能性,并且通过忽略问题,他们已经失去了你的生意。

于 2009-02-11T14:50:10.473 回答
2

合法地将您的名字更改为“Bobby”;Drop Table Users;”

然后在他们的网站上注册一个帐户。这应该引起他们的注意。

警告:以上文字纯属玩笑,请勿在家尝试。

于 2009-02-11T15:29:16.370 回答
1

我一直处于这种情况......我会说要小心并且非常委婉。

以我自己的经验,这是一个与我没有任何隶属关系的公共网站,他们对我让他们知道他们的网站易受攻击的意图产生了怀疑(在某种程度上,信用卡信息可能有被曝光)。

于 2009-02-11T14:48:15.330 回答
0

立即通知他们,最好先咨询您的公司律师。惊慌失措的反应可能是诉讼反应。

如果您以信息丰富、友好且乐于助人的方式执行此操作,他们实际上可能会希望您帮助他们解决问题,因此也要准备好对此做出回应。(可能是好是坏,这取决于您是否想要工作,或者不想要凌乱的负担)。

于 2009-02-11T14:49:02.533 回答
0

我会与客户代表您组织的任何人分享这个问题。他们应该决定如何接近和处理他们最了解的客户。

于 2009-02-11T15:18:35.083 回答