우리는 잠재 고객과 공개 토론을 많이하고 있으며 현재 프로젝트의 작업 범위를 포함하여 우리의 수준 높은 기술 전문 지식에 대해 자주 묻습니다. 지금 또는 이전에 사용했던 스태프의 전문 지식 수준을 측정하기 위해 수행하는 첫 번째 작업은 XSS 및 SQL 주입과 같은 보안 취약성을 검사하는 것입니다. 나는 취약한 잠재 고객을 아직 찾지 못했지만, 실제로 조사가 도움이된다고 생각하거나 "음,이 사람들은 우리가 그들과 사업을하지 않으면 우리 사이트를 쓰레기로 버릴 것"이라고 생각하기 시작했다. . " 비 기술적 인 사람들은이 물건으로 꽤 쉽게 무서워 해. 그래서 나는 이것이 선의의 표시인지 또는 가난한 사업 관행인지 궁금해하고 있니?잠재 고객에게 보안 취약점에 대해 알리십시오.
갑자기 침투 테스트를 통해 놀라운 사람들이 소프트웨어를 미리 테스트 해 본 결과 사람들이 미리 시간을 알 수 없다는 사실을 알게되었을 것입니다. 나는 당신이 이것을 할 것이라면 (그리고 나는 그것이 좋은 일이라고 믿는다), 당신의 고객에게 당신이 이것을 할 것이라는 것을 미리 알린다. 이 문제로 인해 약간 혼란스럽게 느껴진다면 통제 된 환경에서 공격자의 관점에서 인간의 실수를 확인하는 이점을 설명하십시오. 결국 가장 확실한 실수조차도 데비안 PRNG 취약점이 좋은 예입니다.
나는이 문제가 자신의 사이트를 엉망으로 만들지 않고 XSS에 대한 점검을하는 것은 매우 어려울 것이라고 생각합니다. 또한 SQL 인젝션과 같은 것들은 매우 위험 할 수 있습니다. 선택 항목을 추가 할 때 문제가 너무 많지는 않지만 주입 된 SQL을 실행하는 방법을 아는 방법은 무엇입니까?
나는 이것이 상당히 주관적인 결정이라고 생각하며, 다른 전망은 당신이 그들에게 말하면 다르게 반응 할 것이라고 생각한다.
다른 사람들에게 사업을 제안한 후 아이디어를 알릴 수 있다고 생각합니다.
적어도이 전향적인 전망은 당신이 사업을 제공하도록 압력을 가하는 것이라고 생각하지 않습니다.
당신이 묘사 한 방식에서 그것은 약간의 수정과 함께 유익한 불쌍한 비즈니스 관행처럼 보입니다.
먼저 떨어져, 어떤 당신이 고객에 실시 취약성 평가 또는 침투 테스트는 해당 고객, 기간에 의해을 서면으로 합의해야한다. 이것은 합법적으로 귀하의 행동을 다루고 있습니다. 서면 계약이 없으면 검사 도중 의도하지 않은 손상 (응용 프로그램 충돌, 서비스 거부, 데이터 누출 등)이 발생하면 책임을 져야하며 (미국 법에 따라, 다른 국가에서는 다른 표준이 있음) 청구될 수 있습니다.
비록 당신이 손해를 입지 않았더라도, 우둔한 또는 잠재적으로 악의적 인 고객은 귀하의 손해 배상 청구를 법원에 제기 할 수 있습니다. 단서없는 판사가 그 판결을 내릴 수 있습니다.
승인을 서면 작성한 경우 잠재 고객을 유치하기위한 무료 취약성 평가는 선의의 표시처럼 들리며 원하는 것을 보여줍니다 - 기술.
그러나 소프트웨어를 보호하지 않으면 정상적으로 소프트웨어를 개발할 수 있습니까? – Ross