sql injection - sql注入语句 - 如何通知某人他们的网站易受SQL注入攻击?



sql注入登录 (8)

原始问题:
我们的合作伙伴有一个易受SQL注入攻击的网站。

我们注意到这是偶然的(URL中的拼写错误引发了一个非常详细的错误页面)。

现在我们不太了解这个合作伙伴。 我们在一周前开始与他们做生意。 他们自己有很少的技术技能; 他们的网站是由“做网站”的第三家公司为他们开发的。

现在很明显,我们应该警告他们这个问题。 但是我们有点担心,如果我们告诉他们他们感到害怕的问题并且不再相信我们(拍摄信使让问题消失)。

你有没有遇过这种情况? 你做了什么?

另外一件事是:
因为开发网站的公司似乎没有进行验证/消毒,我们对这家公司没有太大的信心。 虽然这不是我们关心的问题,但我们认为,我们应该警告我们的子公司合作伙伴在其系统的其他部分可能缺乏安全和质量。 这会让我们对他们的开发者有所帮助,而且我们不想介入他们与我们的情况。

我们是否应该通知他们我们的额外担忧? 或者你建议让它成为?



更新:
那么,事情是怎么回事?

我们通知他们存在的问题,包括背景信息,详细的错误报告,并试图用简单的人类语言解释问题是什么以及问题是严重的。

他们向我们表示感谢,并将这些信息传递给自己修复此问题的网站开发人员。
我们对修复的质量并不十分确定,但对此我们无能为力,这不是我们的责任。 (虽然它确实感觉像我们的责任,但自从我们报道它以来更是如此)。

但是,这种关系已经改变。 他们不那么开放,而且之前的回应更加保留。 我们希望这种情况在未来会好转,但肯定觉得报道问题会破坏对这种关系的信任。

所以,如果你发现自己处于同一个位置,那就要小心,花些时间来解释这个问题,并为不太理想的反应做好准备。

https://src-bin.com


Answer #1

你告诉他们。 期。

他们会拍摄使者吗? 也许。 但如果他们这样做,你真的想和他们做生意吗?

更实际的是,如果他们的网站出现问题,由于这种攻击,他们会花费很多钱,并且如果它出现过,你知道它并且什么都不做,你可能会有一些责任问题。

这不仅是正确的事情(告诉他们),但你有专业的责任去做。


Answer #2

向他们发送认证邮件(可跟踪,表明问题非常重要,需要立即关注,如果他们决定通过律师解决问题,那么论文可能会有用):

亲爱的先生,

最近我们意识到您的网站存在一个漏洞,可能会导致我们的服务中断,并可能导致数据丢失或更糟。 由于我们依赖于(在此插入产品名称)部分服务,因此我们有兴趣迅速解决此问题。 因此,我们建议我们在自己的项目中成功使用以下安全服务来验证对最常见问题的免责:

(这里列出2-3家优秀的安全审计公司)

我们定期要求所有供应商都将第三方安全测试作为正常业务过程提交,但这个特定问题的紧迫性使我们觉得立即提醒您很重要。

我们感谢您及时关注此事。

此致
(IT经理xyz corp)

不要指定漏洞。 这将使他们有理由进行全面的安全审计,而不仅仅是将您的关注发送给开发人员,解决这个问题,然后声明一份干净的健康证书。 如果他们问,

对不起,为了我们自己和您的法律保护,我们不允许向任何人透露任何安全问题的具体细节,除非根据NDA和相互责任豁免。 这是一个非常简单的性质,一个有能力的安全公司会解决它。

如果您使用的产品具有财务性质,那么您可以简单地要求他们向主要审计公司(例如verisign)提交“批准印章”类型的程序,并且在没有该安全审计印章的情况下停止提供服务。

-亚当


Answer #3

您可以用这样一种方式来形容它,即贵公司要求所有供应商和合作伙伴提供已执行安全审计的证据。 审计要求可能包括检查SQL注入,您可以在“安全需求文档”中包含一个链接到多个信息站点的部分。 如果他们没有回应或承认,那么你已经完成了自己的职责,让他们意识到这种可能性,并且忽视了他们失去了业务的问题。


Answer #4

我一直处于这种情况......而且我会说要小心谨慎。

根据我自己的经验,这是一个我没有隶属关系的公共网站,他们很谨慎,以至于他们怀疑我打算让他们知道他们的网站很脆弱(在信用卡信息可能有的情况下已经暴露)。


Answer #5

我想联系他们并解释什么是SQL注入攻击以及如何克服它。 让他们与开发他们网站的公司打交道。 它会告诉他们你正在寻找他们最大的兴趣,我看不出他们冒犯了,老实说。

祝你好运


Answer #6

提出来。 如果它破坏了这种关系,现在比当你的公司有更密切的关系时更好,以至于当它们在下个星期天被黑客攻击的时候也会伤害你。


Answer #7

这与道德问题非常相似:“如果有人被汽车撞倒,你是否会停下来帮助并冒着被起诉的风险或站在那里观看?”

我会告诉他们,但不是说“我在代码中发现了一个严重的安全漏洞”,而是说:

“嗨 - 我们在您的网站上收到了一条错误消息,我想它可能有一些敏感信息,我们可以看一下吗?” 然后轻轻地小心地穿过它。

你需要告诉他们,但不能用枪支'阿拉斯坦'的方式。


Answer #8

Legaly将您的名字改为“Bobby”; Drop Table Users;“

然后在他们的网站上注册一个帐户。 这应该引起他们的关注。

警告:上述文字是一个笑话,不要在家里尝试。





sql-injection