我们与潜在客户进行了很多公开讨论,他们经常询问我们的技术专业水平,包括我们当前项目的工作范围。为了衡量他们现在或之前使用过的员工的专业水平,我要做的第一件事就是检查XSS和SQL注入等安全漏洞。我还没有找到一个容易受到攻击的潜在客户,但我开始怀疑,他们是否真的认为这项调查是有帮助的,或者他们会想,“嗯,如果我们不与他们做生意,这些人会诋毁我们的网站“。非技术人员很容易被这些东西吓到,所以我想知道这是一个善意的表现,还是一个糟糕的商业行为?
答案 0 :(得分:2)
我会说,如果仅仅是因为他们提前不知道这个事实而突然渗透测试他们的软件会令人惊讶。我会说如果你要这样做(我相信这是一件好事),请提前告知你的客户你要做到这一点。如果他们看起来有点心烦意乱,请告诉他们在受控环境中从攻击者的角度检查人为错误的好处。毕竟,即使是最安全的人也会犯错误:Debian PRNG漏洞就是一个很好的例子。
答案 1 :(得分:1)
我认为这是一个相当主观的决定,如果你告诉他们,不同的前景会有不同的反应。
我认为一个想法可能是在他们向其他人提供业务后让他们知道。
至少就是这样,前期人士不会认为你是在试图强迫他们为你提供业务。
答案 2 :(得分:0)
我认为这个问题是,如果不弄乱他们的网站就很难对XSS进行检查。此外,像SQL注入这样的事情可能非常危险。如果你坚持使用附加选择,你可能没有太多问题,但问题是,你怎么知道它甚至执行注入的SQL?
答案 3 :(得分:0)
从你描述它的方式来看,这似乎是一种糟糕的商业行为,可能是一个有益的,并有一些修改。
首先,您对客户进行的任何漏洞评估或渗透测试都应该由该客户以书面形式商定。这合法地涵盖了您的行为。如果您在检查期间无意中造成损害(应用程序崩溃,拒绝服务,数据泄漏等),您将承担责任并可能被收取费用(根据美国法律;其他国家/地区有不同的标准)。
即使您没有造成损害,无知或潜在恶意的客户也可能会将您带到法院要求赔偿;一个毫无头绪的法官可能只是奖励他们。
如果您已获得书面授权,那么为吸引潜在客户而进行的免费漏洞评估听起来像是一种善意的表现,并展示您想要的 - 您的技能。