如何通知某人他们的网站容易受到 SQL 注入攻击？

Question

Closed. This question is opinion-based. It is not currently accepting answers.

---

想要改进这个问题？更新问题，以便可以通过编辑这篇文章用事实和引文来回答它。

9 年前已关闭。

Answer 1

你告诉他们。 时期。

他们会射杀信使吗？ 或许。 但如果他们这样做了，那么您真的想与他们做生意吗？

更务实的是，如果他们的网站出现问题，并因此类攻击而损失了很多钱，并且如果您知道此事但没有采取任何行动，那么您可能会遇到一些责任问题。

（告诉他们）这不仅是正确的事情，而且你有职业责任这样做。

Answer 2

提出来。 如果它破坏了这种关系，那么现在比你们的公司建立更密切的关系要好，这样当他们下周日被黑客入侵时，你也会受到伤害。

Answer 3

从道德上讲，我想说你不能就这样顺其自然。 您的选择应该是亲自通知他们，或匿名通知他们。 我总是发送电子邮件，询问各种问题，从安全漏洞到损坏的链接或图像。

Answer 4

我想联系他们并解释什么是 SQL 注入攻击以及如何克服它。 并让他们与开发其网站的公司打交道。 这会让他们知道你正在为他们的最大利益着想，说实话，我不认为他们会生气。

祝你好运

Answer 5

这确实类似于“如果有人被车撞了，你会冒着被起诉的风险停下来帮忙，还是站在那里观看？”

我会告诉他们，但我不会说“我在您的代码中发现了一个严重的安全漏洞”，而是说：

“嘿 - 我们在您的网站上收到了一条错误消息，我认为它可能包含一些敏感信息我们可以看一下里面的信息吗？” 然后轻轻地、小心地引导他们完成它。

你确实需要告诉他们，但不是以一种“激烈”的方式。

Answer 6

尽快告诉他们。 如果他们不喜欢，他们可能不应该成为你的伴侣。

Answer 7

向他们发送挂号信（可追踪，表明问题很重要并需要立即关注，如果他们决定通过律师提出问题，书面记录可能会很有用）：

尊敬的先生，

最近我们意识到
您网站中的漏洞
可能会导致我们的工作中断
服务，以及可能的数据丢失或
更差。 正如我们所依赖的（插入
此处的产品名称）是我们的一部分
服务，我们对此感兴趣
问题很快得到解决。 作为
因此，我们推荐以下内容
我们拥有的安全服务
在我们自己的项目中成功使用
验证对最常见的免疫力
问题：

（列出2-3家优秀的安全审计公司
在这里）

我们定期要求所有
供应商提交给第三方安全机构
测试作为正常过程
业务，但是这种紧迫性
特别的问题是我们觉得
立即提醒您很重要。

感谢您的及时关注
这件事。

此致，
（xyz 公司 IT 经理）

不要指定漏洞。 这将使他们有理由进行全面的安全审核，而不是仅仅将您的担忧发送给开发人员，解决这一问题，然后索取一份干净的健康证明。 如果他们问，

对于我们自己和您的法律，我很抱歉
我们不得泄露的保护
任何安全问题的具体细节
除 NDA 和共同协议外的任何人
责任豁免。 它具有足够的
简单的本质，一个称职的安全
公司会解决的。

如果您使用的产品具有财务性质，那么您可以简单地要求他们提交大型审计公司（例如威瑞信）的“批准印章”类型计划，并在没有安全审计印章的情况下停止服务。

-亚当

Answer 8

您可以这样表述：您的公司要求所有供应商和合作伙伴提供已执行安全审核的证据。 审计要求可能包括对 SQL 注入的检查，并且您可以在“安全要求文档”中包含一个链接到多个信息站点的部分。 如果他们没有回应或承认，那么你已经尽了你的责任，让他们意识到这种可能性，并且通过忽视这个问题，他们已经失去了你的业务。

Answer 9

合法地将您的名字更改为“Bobby”；Drop Table Users；”

然后在他们的网站上注册一个帐户。 这应该引起他们的注意。

警告：以上文字是一个笑话，请勿在家尝试此操作。

Answer 10

我曾经遇到过这种情况……我想说要小心并且非常机智。

根据我自己的经验，这是一个我没有隶属关系的公共网站，他们非常警惕，以至于怀疑我让他们知道他们的网站容易受到攻击的意图（在某种程度上，信用卡信息可能会被泄露）被曝光了）。

Answer 11

立即通知他们，最好先咨询您的公司律师。 恐慌的反应可能会引起诉讼。

如果你以一种信息丰富、友好和乐于助人的方式做到这一点，他们实际上可能会指望你帮助他们解决问题，所以也要准备好对此做出回应。 （可能是好是坏，取决于您是否想要工作，或者不想要混乱的负担）。

Answer 12

我会向任何代表你的组织和客户的人表达我的担忧。 他们应该决定如何接近和处理他们最了解的客户。