12

元の質問:
私たちのアフィリエイト パートナーは、SQL インジェクションに対して脆弱な Web サイトを持っています。

これは偶然に気付きました (URL のタイプミスにより、非常に有益なエラー ページが表示されました)。

現在、このアフィリエイト パートナーについてはよくわかっていません。私たちはちょうど一週間前に彼らと取引を始めました。彼ら自身は技術的なスキルをほとんど持っていません。彼らのウェブサイトは、「ウェブサイトを行う」サード企業によって開発されています。

ここで、問題について警告する必要があることは明らかです。しかし、私たちが問題について彼らに知らせると、彼らは怖がって私たちを信頼しなくなるのではないかと少し心配しています (問題を解決するためにメッセンジャーを撃ってください)。

このような状況に陥ったことのある方はいらっしゃいますか? あなたは何をした?

追加事項:
Web サイトを開発した会社は、入力の検証/サニタイズをまったく行っていないように見えるため、この会社にはあまり自信がありません。私たちの懸念ではありませんが、アフィリエイト パートナーのシステムの残りの部分でセキュリティと品質が不足している可能性があることを警告する必要があると考えています。これにより、私たちは彼らの開発者と正面から向き合うことになり、私たちは彼らと私たちの状況に関与したくありません.

追加の懸念事項を彼らに通知する必要がありますか? それともそのままにしておくようにアドバイスしますか?



更新:
それで、どうなりましたか?

私たちは彼らに既存の問題を通知し、背景情報、詳細なエラー レポートを含め、何が問題なのか、なぜ深刻なのかを平易な人間の言葉で説明しようとしました。

彼らは私たちに感謝し、情報をウェブサイトの開発者に渡しました。開発者はそれを修正しました.
修正の品質については確信が持てませんが、それについてできることは何もありません。それは私たちの責任ではありません。(私たちの責任のように感じますが、報告してからはなおさらです)。

しかし、関係は変わりました。それらはオープンではなく、以前よりもはるかに控えめな反応があります。将来、これがより良い方向に変わることを願っていますが、問題を報告したことで、この関係の信頼が損なわれたように感じます.

したがって、自分が同じ立場にあることに気付いた場合は、注意して、時間をかけて問題を説明し、最適ではない対応に備えてください。

4

12 に答える 12

14

あなたは彼らに言います。限目。

彼らはメッセンジャーを撃ちますか?多分。しかし、もしそうなら、あなたは本当に彼らとビジネスをしたいですか?

より現実的に言えば、そのような攻撃によって多額の費用がかかる問題がウェブサイトに発生したことがあり、あなたがそれを知っていて何もしなかったことが明らかになった場合、責任問題が発生する可能性があります.

(彼らに伝えることは)正しいことであるだけでなく、あなたにはそうする専門的な責任があります。

于 2009-02-11T14:47:41.493 に答える
12

それを持ってきてください。それが関係を破壊するなら、あなたの会社がより緊密な関係を築いているときよりも今の方が良いので、彼らが次の日曜日にハッキングされたとき、それはあなたも傷つけます.

于 2009-02-11T14:46:12.277 に答える
6

倫理的に、そのままにしておくわけにはいかないと思います。個人的に通知するか、匿名で通知するかを選択する必要があります。セキュリティホールから壊れたリンクや画像まで、常にメールを送信しています.

于 2009-02-11T14:47:47.920 に答える
4

できるだけ早く伝えてください。彼らがそれを気に入らないなら、おそらくあなたのパートナーになるべきではありません。

于 2009-02-11T14:47:42.053 に答える
4

彼らに連絡して、SQL インジェクション攻撃とは何か、それを克服する方法を説明してください。ウェブサイトを開発した会社と取引させてください。あなたが彼らの最善の利益のために気を配っていることを彼らに示すでしょう。

幸運を

于 2009-02-11T14:47:51.260 に答える
3

配達証明付きのメールを送信します (追跡可能で、問題が重要であり、早急な対応が必要であることを示します。弁護士を通じて問題を提起することにした場合は、紙の証跡が役立ちます)。

拝啓、

最近、あなたのウェブサイトに脆弱性があることがわかりました。これにより、サービスが中断され、データが失われるか、さらに悪化する可能性があります。サービスの一部を (ここに製品名を挿入) に依存しているため、この問題が迅速に解決されることに関心があります。そのため、最も一般的な問題に対する耐性を検証するために、独自のプロジェクトで使用して成功した次のセキュリティ サービスをお勧めします。

(優れたセキュリティ監査会社を 2 ~ 3 挙げてください)

通常の業務として、すべてのベンダーにサード パーティのセキュリティ テストに提出するよう定期的に要求していますが、この特定の問題は緊急性が高いため、すぐに警告することが重要であると感じています。

早急にご対応いただきますようお願い申し上げます。

よろしくお願いいたし
ます (IT マネージャー、xyz corp)

脆弱性を指定しないでください。これにより、懸念事項を開発者に送信し、その 1 つを修正してから完全な健康状態を主張するだけでなく、完全なセキュリティ監査を行う理由が彼らに与えられます。彼らが尋ねたら、

申し訳ありませんが、私たち自身とあなたの法的保護のために、NDA と相互責任放棄の下以外で、セキュリティ問題の特定の詳細を誰にも漏らすことは許可されていません. 有能なセキュリティ会社がそれを解決するのは十分に単純な性質です.

使用している製品が金融的な性質のものである場合は、主要な監査会社 (たとえば Verisign) の「承認シール」タイプのプログラムに提出するよう要求し、そのセキュリティ監査シールなしでサービスを中止することができます。

-アダム

于 2009-02-11T16:25:54.720 に答える
2

合法的に名前を「Bobby'; Drop Table Users;」に変更します。

次に、サイトでアカウントにサインアップします。これは彼らの注意を引くはずです。

警告: 上記のテキストは冗談です。自宅でこれを試みないでください。

于 2009-02-11T15:29:16.370 に答える
1

私はこのような状況に陥ったことがあります...そして私は注意して非常に機知に富んでいると思います.

私自身の経験では、それは私が所属していない公開 Web サイトであり、彼らのサイトが脆弱であることを知らせる私の意図を疑うほど警戒していました (クレジット カード情報が暴露された)。

于 2009-02-11T14:48:15.330 に答える