우리는 잠재 고객과 공개 토론을 많이하고 있으며 현재 프로젝트의 작업 범위를 포함하여 우리의 수준 높은 기술 전문 지식에 대해 자주 묻습니다. 지금 또는 이전에 사용했던 스태프의 전문 지식 수준을 측정하기 위해 수행하는 첫 번째 작업은 XSS 및 SQL 주입과 같은 보안 취약성을 검사하는 것입니다. 나는 취약한 잠재 고객을 아직 찾지 못했지만, 실제로 조사가 도움이된다고 생각하거나 "음,이 사람들은 우리가 그들과 사업을하지 않으면 우리 사이트를 쓰레기로 버릴 것"이라고 생각하기 시작했다. . " 비 기술적 인 사람들은이 물건으로 꽤 쉽게 무서워 해. 그래서 나는 이것이 선의의 표시인지 또는 가난한 사업 관행인지 궁금해하고 있니?잠재 고객에게 보안 취약점에 대해 알리십시오.
답변
갑자기 침투 테스트를 통해 놀라운 사람들이 소프트웨어를 미리 테스트 해 본 결과 사람들이 미리 시간을 알 수 없다는 사실을 알게되었을 것입니다. 나는 당신이 이것을 할 것이라면 (그리고 나는 그것이 좋은 일이라고 믿는다), 당신의 고객에게 당신이 이것을 할 것이라는 것을 미리 알린다. 이 문제로 인해 약간 혼란스럽게 느껴진다면 통제 된 환경에서 공격자의 관점에서 인간의 실수를 확인하는 이점을 설명하십시오. 결국 가장 확실한 실수조차도 데비안 PRNG 취약점이 좋은 예입니다.
나는이 문제가 자신의 사이트를 엉망으로 만들지 않고 XSS에 대한 점검을하는 것은 매우 어려울 것이라고 생각합니다. 또한 SQL 인젝션과 같은 것들은 매우 위험 할 수 있습니다. 선택 항목을 추가 할 때 문제가 너무 많지는 않지만 주입 된 SQL을 실행하는 방법을 아는 방법은 무엇입니까?
나는 이것이 상당히 주관적인 결정이라고 생각하며, 다른 전망은 당신이 그들에게 말하면 다르게 반응 할 것이라고 생각한다.
다른 사람들에게 사업을 제안한 후 아이디어를 알릴 수 있다고 생각합니다.
적어도이 전향적인 전망은 당신이 사업을 제공하도록 압력을 가하는 것이라고 생각하지 않습니다.
당신이 묘사 한 방식에서 그것은 약간의 수정과 함께 유익한 불쌍한 비즈니스 관행처럼 보입니다.
먼저 떨어져, 어떤 당신이 고객에 실시 취약성 평가 또는 침투 테스트는 해당 고객, 기간에 의해을 서면으로 합의해야한다. 이것은 합법적으로 귀하의 행동을 다루고 있습니다. 서면 계약이 없으면 검사 도중 의도하지 않은 손상 (응용 프로그램 충돌, 서비스 거부, 데이터 누출 등)이 발생하면 책임을 져야하며 (미국 법에 따라, 다른 국가에서는 다른 표준이 있음) 청구될 수 있습니다.
비록 당신이 손해를 입지 않았더라도, 우둔한 또는 잠재적으로 악의적 인 고객은 귀하의 손해 배상 청구를 법원에 제기 할 수 있습니다. 단서없는 판사가 그 판결을 내릴 수 있습니다.
승인을 서면 작성한 경우 잠재 고객을 유치하기위한 무료 취약성 평가는 선의의 표시처럼 들리며 원하는 것을 보여줍니다 - 기술.
- 1. 기술적이지 않은 잠재 고객에게 API를 설명하려면 어떻게해야합니까?
- 2. Smack에서 새로운 HostedRoom에 대해 고객에게 알리는 방법?
- 3. VS2010에 지역 축소를 알리십시오.
- 4. 잠재 의미 론적 인덱싱?
- 5. 보안 걱정 필드에 대해 숨김
- 6. 생산자가 완료되면 고객에게 알리기
- 7. Silverlight를 고객에게 어떻게 제공합니까?
- 8. Glassfish를 고객에게 제안
- 9. .net IT 벤더로 외부 고객에게 구축 사례
- 10. 전자 메일을 통해 고객에게 비밀 암호를 보냅니다.
- 11. 잠재 리팩토링을 제안하기위한 도구는 무엇입니까?
- 12. Satchmo에서 기본 고객에게 할인을 제공합니까?
- 13. asp.net에서 세션 시간이 초과되면 사용자에게 알리십시오.
- 14. jquery draggable이 동적으로 드래그되고 있음을 알리십시오
- 15. WebPart 보안
- 16. 회사의 고객에게 회사의 앱 배포
- 17. 웹 사이트 보안
- 18. 코드 액세스 보안 (CAS)에 대해 알아야합니까?
- 19. 동영상 재생시 보안 타이머 재설정에 대해 묻습니다.
- 20. Xcelsius의 다른 구성 요소에 대해 다른 보안
- 21. Sharepoint 잠재 고객에 사용자가 표시되지 않습니다.
- 22. 잠재 의미 론적 색인 작성에 도움이 필요하십니까
- 23. 잠재 유형과 매니페스트 유형의 차이점은 무엇입니까?
- 24. 잠재 ID 목록에서 잘못된 레코드 ID 찾기
- 25. HTML 5, 내 고객에게 무엇을 말해야합니까?
- 26. 보고 고객에게 표시되는 제품이 사용자 에이전트를 따르도록하십시오.
- 27. 고객에게 자격을 갖춘 DBA의 중요성을 이해시키는 방법?
- 28. WCF, 보안 및 인증서
- 29. iphone - 애플리케이션 업그레이드 ... 고객에게 어떤 일이 발생합니까?
- 30. 공통 jQuery 보안 프로그래밍
그러나 소프트웨어를 보호하지 않으면 정상적으로 소프트웨어를 개발할 수 있습니까? – Ross