Enfoque ético sobre el sitio web corporativo y las vulnerabilidades [cerrado]

Navega tus respuestas
2

Me gusta la seguridad web y tengo formación académica al respecto. Solo por diversión encontré un sitio web (compañía de seguros) con vulnerabilidades críticas como la inyección xss o sql. Ahora, obviamente les alertaré sobre este problema. Pero sería bueno si la compañía me permitiera resolver los problemas que identificé como freelancer o algo así. Pero probablemente contratarán alguna compañía de seguridad para hacer este trabajo y pagarán un valor monetario más alto.

¿Algún consejo sobre este tema? ¿Cuál debería ser mi enfoque ético?

    
pregunta daniel__ 07.08.2013 - 02:56
fuente

1 respuesta

6

El enfoque ético es informar, de manera confidencial, y no combinar el informe con una solicitud de pago para solucionarlo, lo que podría considerarse una extorsión.

Explique cómo encontró el problema y posiblemente incluya pasos para remediar lo que encontró, pero déjeles la solución.

Como gerente de seguridad de una compañía de seguros, puedo decirle que le agradecería saber sobre el problema, pero le cerraría la puerta a la cara si comenzara a intentarlo y lo aprovechara. Si, en cambio, trabajó conmigo abiertamente para arreglar las cosas, ayudó a volver a realizar la prueba y, en general, fue agradable trabajar con él, podría ofrecerle un trabajo al final, o al menos, ofrecer una carta de referencia para sus habilidades y profesionalismo.

Al final, es SU sitio web, y su responsabilidad es arreglarlo o no arreglarlo.

    
respondido por el schroeder 07.08.2013 - 03:34
fuente

Lea otras preguntas en las etiquetas

¿Cómo ocurre el enlace de imágenes con parches maliciosos? Tomcat 7 y ETags