sql injection - reales - ¿Cómo notificar a alguien que su sitio web es vulnerable a la inyección de SQL?
sql injection owasp (12)
Éticamente, yo diría que no puedes dejarlo solo. Sus elecciones deberían ser notificarlas personalmente o notificarlas anónimamente. Envío correos electrónicos todo el tiempo para cosas desde agujeros de seguridad hasta enlaces o imágenes rotas.
Pregunta original:
Un socio afiliado de nosotros tiene un sitio web que es vulnerable a la inyección de SQL.
Lo notamos por accidente (un error ortográfico en una URL desencadenó una página de error enormemente informativa).
Ahora no conocemos muy bien a este socio afiliado. Empezamos a hacer negocios con ellos hace solo una semana. Ellos mismos tienen muy pocas habilidades técnicas; su sitio web está desarrollado para ellos por una tercera compañía que "hace sitios web".
Ahora es obvio que debemos advertirles sobre el problema. Pero estamos un poco preocupados de que si les informamos sobre el problema, se asustan y ya no confían en nosotros (dispare al mensajero para que el problema desaparezca).
¿Alguno de ustedes ha estado alguna vez en esta situación? ¿Qué hiciste?
Una cosa adicional es:
Debido a que la compañía que desarrolló el sitio web no parece hacer ningún tipo de validación / desinfección de entrada, no tenemos mucha confianza en esta compañía. Si bien no nos concierne, creemos que debemos advertir a nuestro socio afiliado sobre la posible falta de seguridad y calidad en el resto de su sistema. Esto nos pondría de frente con su desarrollador, y no queremos involucrarnos en una situación contra nosotros.
¿Deberíamos notificarles sobre nuestras preocupaciones adicionales? o ¿te aconsejas dejarlo?
Actualizar:
Entonces, ¿cómo fue la cosa?
Les notificamos del problema existente, incluimos información de antecedentes, un informe de error detallado y tratamos de explicar en lenguaje humano cuál era el problema y por qué es grave.
Nos dieron las gracias y pasaron la información al desarrollador de su sitio web, que luego lo arregló.
No estamos seguros de la calidad del arreglo, pero no podemos hacer nada al respecto y no es nuestra responsabilidad. (Aunque parece ser nuestra responsabilidad, más aún desde que la informamos).
Sin embargo, la relación ha cambiado. Son menos abiertos y hay respuestas mucho más reservadas que antes. Esperamos que esto cambie para mejor en el futuro, pero parece que informar que el problema dañó la confianza en esta relación.
Entonces, si alguna vez se encuentra en la misma posición, tenga cuidado, tómese su tiempo para explicar el problema y prepárese para una respuesta menos que óptima.
Compartiría la preocupación con quien sea el rostro de su organización con el cliente. Deben decidir cómo abordar y tratar con el cliente de la mejor manera posible.
Creo que contactarlos y explicarles qué es un ataque de inyección SQL y cómo superarlo. y dejar que se ocupen de la compañía que desarrolló su sitio web. Les mostrará que está buscando su mejor interés y no puedo ver que se ofendan, honestamente.
Buena suerte
Envíeles un correo certificado (rastreable, indica que el problema es importante y exige atención inmediata, y el seguimiento en papel puede ser útil si deciden plantear problemas a través de sus abogados):
Estimado señor,
Recientemente nos dimos cuenta de una vulnerabilidad en su sitio web que puede ocasionar interrupciones en nuestro servicio y, posiblemente, la pérdida de datos o algo peor. Como dependemos de (inserte el nombre del producto aquí) para parte de nuestros servicios, estamos interesados en que este problema se resuelva rápidamente. Como tal, recomendamos los siguientes servicios de seguridad que hemos utilizado con éxito en nuestros propios proyectos para verificar la inmunidad a los problemas más comunes:
(enumere 2-3 buenas firmas de auditoría de seguridad aquí)
Periódicamente solicitamos que todos los proveedores se sometan a pruebas de seguridad de terceros como un curso normal de negocios, sin embargo, la urgencia de este problema en particular es tal que consideramos importante alertarlo de inmediato.
Agradecemos su pronta atención a este asunto.
Sinceramente,
(Gerente de TI, xyz corp)
No especifique la vulnerabilidad. Esto les dará una razón para hacer una auditoría de seguridad completa, en lugar de simplemente enviar su preocupación al desarrollador, arreglar eso, y luego reclamar una buena salud. Si preguntan,
Lo siento, por nuestra propia protección legal y por la nuestra no tenemos permitido divulgar detalles particulares de ningún problema de seguridad a nadie, excepto bajo NDA y exención de responsabilidad mutua. Es de una naturaleza suficientemente simple que una firma de seguridad competente lo resolverá.
Si el producto que está utilizando es de naturaleza financiera, puede simplemente exigir que se someta a un programa tipo "sello de aprobación" de una firma de auditoría importante (verisign, por ejemplo) y suspender el servicio sin ese sello de auditoría de seguridad.
-Adán
Esto es realmente similar a la pregunta ética de "Si alguien es atropellado por un automóvil, ¿se detiene y ayuda y se arriesga a ser demandado o parado allí y a mirar?"
Yo les diría, pero en vez de decir "encontré una vulnerabilidad de seguridad grave en tu código", diría algo como:
"Oye, recibimos un mensaje de error en su sitio web y creo que puede haber tenido alguna información sensible. ¿Podríamos echarle un vistazo a esto?" y luego guíalos a través de él, suave y cuidadosamente.
Tienes que decirles, pero no a la manera de un pistolero.
He estado en esta situación ... y yo diría que sea cuidadoso y muy discreto.
En mi propia experiencia, era un sitio web público al que no tenía afiliación, y se mostraron cautelosos hasta el punto de que sospecharon mis intenciones de informarles que su sitio era vulnerable (en la medida en que la información de la tarjeta de crédito podría tener estado expuesto).
Notifíquelos de inmediato, preferiblemente consultando a sus abogados corporativos primero. Una reacción de pánico podría ser un litigio.
Si haces esto de manera informativa, amistosa y útil, es posible que te busquen para ayudarlos a resolverlo, así que prepárate para tener una respuesta a eso también. (Podría ser bueno o malo dependiendo de si quieres trabajar, o no quieres la carga sucia).
Puede expresarlo de tal manera que su empresa requiera que todos los proveedores y socios proporcionen pruebas de que se ha realizado una auditoría de seguridad. Los requisitos de auditoría podrían incluir una verificación de inyecciones de SQL y podría incluir una sección en su "documento de requisitos de seguridad" que enlaza con varios sitios informativos. Si ellos no responden o reconocen, entonces has cumplido con tu deber al hacerles conscientes de la posibilidad y al ignorar el problema han perdido tu negocio.
Tú diles. Período.
¿Dispararán al mensajero? Tal vez. Pero si lo hacen, ¿de verdad quieres hacer negocios con ellos?
Más pragmáticamente, si alguna vez tuvieron un problema con su sitio web que les costó una gran cantidad de dinero debido a un ataque así y si alguna vez se supo que usted sabía y no hizo nada, potencialmente podría tener algunos problemas de responsabilidad.
No solo es lo correcto (decirles), sino que tiene la responsabilidad profesional de hacerlo.
Tocar el tema. Si destruye la relación, mejor ahora que cuando tus compañías tienen una relación más estrecha, de modo que cuando sean pirateadas el próximo domingo también te hiera.
Legalmente cambie su nombre a "Bobby"; Drop Table Users; "
Luego regístrese para obtener una cuenta en su sitio. Esto debería llamar su atención.
ADVERTENCIA: El texto anterior es una broma, no intente esto en casa.
Diles lo antes posible. Si no les gusta, probablemente no sean su pareja.