Tenemos un sitio web, ¡y alguien nos escribió un correo electrónico alegando que somos inseguros!
¿Qué debo hacer
Mantenga la calma y sea amable con la persona que informa esto. Si se ponen en contacto con usted, solo quieren ayudar, así que no los amenace.
Tampoco los ignore, asegúrese de que entiendan que está interesado en solucionar esto. Explícales que necesitas tiempo para hacer esto; idealmente, puede darles un marco de tiempo en el que piense que puede tenerlo arreglado (en este momento, no parece que pueda estimarlo, pero tenga esto en cuenta para futuros incidentes).
Si no entiende completamente lo que le están diciendo, puede pedir una aclaración y una prueba de concepto (aunque asegúrese de formularlo de una manera que no suene exigente. Dependiendo del país en el que se encuentre, esto podría causarles problemas legales).
Si no tiene desarrolladores que puedan solucionar este problema, contrate a alguien externo o pídale a sus desarrolladores que lean los problemas de seguridad más comunes y cómo solucionarlos (especialmente la inyección SQL) para el idioma (y / o plataforma, software, bibliotecas). , etc) que utiliza.
Lo primero es seguir los consejos de Tim con respecto a responder a su contacto. Si no está claro cuál es la naturaleza del problema, valdría la pena pedirles más información, ya que parecen estar interesados en ayudar.
Sospecho que ya que está preguntando aquí, ¿no tiene acceso a desarrolladores con experiencia en desarrollo seguro o a un departamento de TI al cual recurrir? Esto le deja las opciones de obtener experiencia externa, o si esa no es una opción, su desarrollador (¿usted?) Tratando de ponerse al día.
Si conoce la naturaleza del problema, siga el enlace al top 10 de OWASP a continuación y repáselo. Si no está en la lista, probablemente valga la pena publicar otra pregunta. De lo contrario, comience en la parte superior de la lista y trabaje a través de ellos y me vuelvo a determinar si podrían ser la causa.
Le sugerimos que comience a leer en OWASP para obtener información general: enlace
Los problemas más comunes en mi experiencia son: XSS, inyecciones de SQL, falta de cifrado, mala gestión de autenticación, sesiones y autorización.
Puede encontrar el top 10 de OWASP aquí: enlace
Creo que solo una URL no es lo suficientemente buena como para demostrar que su sitio es inseguro (en la mayoría de los casos).
Supongo que no puede conocer ni la arquitectura de seguridad ni la funcionalidad de su sitio, le sugiero que lleve las cosas ( URL notificada ) a su departamento de TI. Sería genial si son capaces de identificar el problema.
Si no, pídale a ese crítico más información (defendiendo su seguridad al mismo tiempo que obtiene la información que tienen como base) y pásela a su equipo. Si identifican que se trata de un problema de seguridad, pídales que comiencen a trabajar en la solución. Actualiza la crítica que lo estás arreglando. ¡Y no olvides darle las gracias por avisarte!
Lea otras preguntas en las etiquetas web-application attacks vulnerability incident-response