Alguien me pidió que me encargara de mantener su sitio web (bastante antiguo). Miré el código, y veo que cada página tiene llamadas a mysql_query , con cadenas de sql concatenadas con variables $_GET completamente sin sanear. Es un sitio web enorme, y debería ser reescrito desde cero para deshacerse de todos estos problemas. Supongo que nunca han experimentado ningún ataque, o lo habrían mencionado.
¿Debería hablarles de ello y, de ser así, qué debería decir?
Informaría a la persona responsable del sitio y los datos de inmediato. Tener eso en un correo electrónico o en forma escrita para obtener evidencia sería una buena idea.
Dentro de la comunicación, me referiría al TOP 10 de OWASP que destaca específicamente los peligros de la inyección de SQL.
A menos que tenga evidencia de que el sitio ha sido / está comprometido, no diría eso, pero mencionaría que es una posibilidad.
A continuación, sugeriría opciones de remediación y los recursos (tiempo y dinero) que crees que se necesitarían para solucionar.
Si la persona responsable sigue optando por no solucionar el problema, asegúrese de documentar la decisión para que esté cubierto.
Lea otras preguntas en las etiquetas vulnerability ethics