如何通知某人他们的网站容易受到SQL注入攻击?

时间:2009-02-11 14:44:13

标签: sql-injection

原始问题:
我们的联盟合作伙伴有一个易受SQL注入攻击的网站。

我们意外地注意到了这一点(URL中的拼写错误引发了一个非常有用的错误页面。)

现在我们不太了解这个联盟合作伙伴。一周前我们开始与他们做生意。 他们自己的技术技能很少;他们的网站是由第三家“做网站”的公司为他们开发的。

现在很明显我们应该警告他们这个问题。但我们有点担心,如果我们告诉他们这个问题,他们会害怕,不再相信我们(拍摄信使让问题消失)。

你们有没有遇到过这种情况?你做了什么?

另外一件事是:
由于开发网站的公司似乎根本没有进行输入验证/消毒,我们对该公司没有太多信心。虽然这不是我们关心的问题,但我们认为我们应该警告我们的联盟合作伙伴,因为他们的系统其他部分可能缺乏安全性和质量。这会让我们与他们的开发人员正面交锋,而且我们不想让他们参与到我们的情况中。

我们是否应该通知他们我们的其他问题?或者你建议让它成为?



更新
那么,事情怎么样了?

我们向他们通报了现有问题,包括背景信息,详细的错误报告,并尝试用简单的人类语言解释问题是什么以及问题严重的原因。

他们感谢我们,将这些信息传递给他们的网站开发者,后者已经修复了它 我们不太确定修复的质量,但我们无能为力,这不是我们的责任。 (虽然它确实感觉我们有责任,但自从我们报告以来更是如此)。

然而,这种关系发生了变化。它们不那么开放,之前的反应更加保守。我们希望将来这种情况会有所改善,但是确实报告问题会损害这种关系中的信任。

因此,如果您发现自己处于相同的位置,请小心,花些时间解释问题,并为不太理想的反应做好准备。

12 个答案:

答案 0 :(得分:14)

你告诉他们。周期。

他们会射杀信使吗?也许。但如果他们这样做,你真的想和他们做生意吗?

更务实的是,如果他们的网站出现问题,由于这种攻击会花费他们很多钱,如果它出现了你知道它并且没有做任何事情你可能会有一些责任问题。

不仅是正确的事情(告诉他们),而且你有责任这样做。

答案 1 :(得分:12)

提出来。如果它破坏了这种关系,那么现在比你的公司有更密切的关系更好,这样当他们在下周日被黑客入侵时,它也会伤害你。

答案 2 :(得分:6)

道德地说,我会说你不能只是让它成为现实。您的选择应该是亲自通知他们,或匿名通知他们。我一直发送电子邮件,从安全漏洞到破损的链接或图像。

答案 3 :(得分:4)

尽快告诉他们。如果他们不喜欢,他们可能不应该是你的伴侣。

答案 4 :(得分:4)

我认为联系他们并解释SQL注入攻击是什么以及如何克服它。并让他们与开发他们网站的公司打交道。它会告诉他们你正在寻找他们最大的兴趣,老实说,我不能看到他们冒犯。

祝你好运

答案 5 :(得分:4)

这非常类似于道德问题:“如果有人受到汽车撞击,你会停下来帮忙并冒险被起诉或站在那里观看吗?”

我告诉他们,但不是说“我在你的代码中发现了一个严重的安全漏洞”,我会说:

“嘿 - 我们在您的网站上收到了一条错误消息,我认为其中可能包含一些敏感信息。我们可以看看这个吗?”然后轻轻地小心地穿过它。

你确实需要告诉他们,但不能用guns'a'blazin'的方式。

答案 6 :(得分:3)

向他们发送经过认证的邮件(可跟踪,表明问题很重要,需要立即引起注意,如果他们决定通过律师提出问题,那么文件记录会很有用):

  亲爱的先生,

     

最近我们发现了一个   您网站中的漏洞   可能会导致我们的中断   服务,可能还有数据丢失或   更差。我们依赖(插入   这里的产品名称)部分我们的   服务,我们对此感兴趣   问题很快得到解决。如   这样,我们建议如下   我们拥有的安全服务   成功用于我们自己的项目   验证最常见的免疫力   的问题:

     

(列出2-3个优秀的安全审计公司   这里)

     

我们会定期要求所有人   供应商提交给第三方安全   测试作为正常的过程   商业,但这是紧迫的   特别的问题是我们感受到的   重要的是立即提醒你。

     

我们感谢您的及时关注   这件事。

     

此致
    (IT经理,xyz corp)

不要指定漏洞。这将使他们有理由进行全面的安全审计,而不仅仅是将您的关注点发送给开发人员,解决这一问题,然后声明一份清洁的健康状况。如果他们问,

  

对不起,对我们自己和你的法律   保护我们不允许泄露   任何安全问题的具体细节   除了NDA和相互之外的任何人   责任豁免。它足够了   简单的性质,一个称职的安全   公司将解决它。

如果您使用的产品具有财务性质,那么您可以简单地要求他们从主要审计公司(例如,verisign)提交“批准印章”类型程序,并在没有该安全性的情况下停止服务审计印章。

- 亚当

答案 7 :(得分:2)

您可以通过这样的方式对其进行说明,即贵公司要求所有供应商和合作伙伴提供已执行安全审核的证据。审计要求可能包括检查SQL注入,您可以在“安全要求文档”中包含一个链接到多个信息站点的部分。如果他们没有回应或承认,那么你已经尽职让他们意识到这种可能性,并且忽略了这个问题他们已经失去了你的生意。

答案 8 :(得分:2)

Legaly将您的名字改为“Bobby”; Drop Table Users;“

然后在其网站上注册一个帐户。这应引起他们的注意。

警告:上述文字是个笑话,请勿在家中尝试。

答案 9 :(得分:1)

我一直处于这种情况......我会说要小心谨慎。

根据我自己的经验,这是一个我没有隶属关系的公共网站,他们很担心他们怀疑我的意图让他们知道他们的网站是脆弱的(在信用卡的范围内)信息可能已被曝光。)

答案 10 :(得分:0)

立即通知他们,最好首先咨询您的公司律师。恐慌的反应可能是一种诉讼。

如果您以信息丰富,友好和乐于助人的方式执行此操作,他们实际上可能希望您帮助他们解决问题,因此请准备好对此做出回应。 (可能是好还是坏,取决于你是否想要工作,或者不想要麻烦的负担)。

答案 11 :(得分:0)

我会与客户分享您组织中的任何人的担忧。他们应该决定如何处理和处理他们最了解的客户。

相关问题
最新问题