私たちは潜在的なクライアントと多くのオープンな議論を行っており、彼らは現在のプロジェクトの仕事の範囲を含め、私たちの技術的専門知識のレベルについて頻繁に尋ねます. スタッフが現在使用している、または以前使用していた専門知識のレベルを測定するために私が最初に行うことは、XSS や SQL インジェクションなどのセキュリティの脆弱性をチェックすることです。脆弱な潜在的なクライアントをまだ見つけていませんが、彼らは実際にこの調査が役に立ったと考えるでしょうか、それとも「ええと、彼らと取引をしなければ、彼らは私たちのサイトを台無しにするだろう」と考えるでしょうか? ." 技術に詳しくない人は、このようなことでかなり簡単に怖がってしまうので、これは誠実さの表れなのか、それともビジネス慣行の悪さなのか疑問に思っています。
4 に答える
ソフトウェアの侵入テストを突然行って人々を驚かせることは、単に事前に知らなかったという事実だけで、人々を悩ませる可能性があると言えます。もしあなたがこれをするつもりなら(そして私はそれが良いことだと信じています)、あなたがこれをするつもりであることを事前にクライアントに知らせてください. 彼らがこれに少し取り乱しているように見える場合は、制御された環境で攻撃者の観点から人的エラーをチェックすることの利点を伝えてください。結局のところ、最も安全な考え方を持っている人でさえ間違いを犯します。Debian PRNG の脆弱性はその良い例です。
これはかなり主観的な決定であり、あなたが彼らに話した場合、異なる見込み客は異なる反応を示すと思います.
彼らが他の誰かにビジネスを与えた後に彼らに知らせることも考えられると思います.
少なくともこうすれば、元見込み客は、あなたがあなたにビジネスを与えるよう圧力をかけようとしているとは思わないでしょう。
これの問題は、サイトを台無しにすることなく XSS のチェックを行うのが非常に難しいことだと思います。また、SQL インジェクションなどは非常に危険です。選択を追加することに固執している場合は、それほど問題はないかもしれませんが、問題は、挿入された SQL を実行していることをどのように知ることができるかということです。
あなたの説明の仕方からすると、多少の修正を加えれば有益なビジネスになる可能性のある、貧弱な商慣行のように思えます。
まず、顧客に対して実施する脆弱性評価または侵入テストは、その顧客によって書面で合意される必要があります。これはあなたの行動を法的にカバーします。書面による同意なしに、検査中に不注意で損傷 (アプリケーションのクラッシュ、サービス拒否、データ漏洩など) を引き起こした場合、責任を負い、請求される可能性があります (米国の法律に基づきます。他の国では基準が異なります)。
損害を与えていない場合でも、無知または潜在的に悪意のある顧客が損害賠償を請求して法廷に連れて行く可能性があります。無知な裁判官が彼らに賞を与えるかもしれません。
そうするための書面による承認がある場合、潜在的な顧客を引き付けるための無料の脆弱性評価は、誠実さの表れのように聞こえ、あなたが望むもの、つまりあなたのスキルを示します.