sql-injection – 如何通知某人他们的网站易受SQL注入攻击?

前端之家收集整理的这篇文章主要介绍了sql-injection – 如何通知某人他们的网站易受SQL注入攻击?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
原来的问题:
我们的联属合作伙伴有一个容易受到sql注入的网站.

我们注意到这一点(URL中的打字错误引起了非常详尽的错误页面).

现在我们不太了解这个会员伙伴.一个星期前,我们开始和他们做生意.
他们本身技术水平很低;他们的网站由第三家“网站”公司为他们开发.

现在很明显,我们应该警告他们这个问题.但是我们有点担心,如果我们通知他们这个问题,他们会害怕,不再相信我们(拍摄信使让问题消失).

有没有人曾经在这种情况?你做了什么?

另外一件事是:
因为开发网站的公司根本没有做输入验证/消毒,所以对这家公司并不信任.虽然这不是我们的关注,但我们觉得我们应该警告我们的会员伙伴在系统的其余部分潜在地缺乏安全性和质量.这将使我们与开发人员一起前进,我们不希望涉及到他们与我们的情况.

我们应该通知他们我们的其他问题吗?还是建议让它成为?

更新:
那么事情怎么回事?

我们通知他们现有的问题,包括背景信息,详细的错误报告,并试图用简单的人类语言解释问题是什么,为什么是严重的.

他们感谢我们,将信息传递给自己已经修复的网站开发人员.
我们不清楚修复的质量,但是我们无法做到这一点,而不是我们的责任. (尽管我们觉得自己觉得自己的责任,甚至更是如此,因为我们报道).

但是,这种关系已经改变了.他们不那么开放,那里的反应比以前更加保留.我们希望将来会有更好的变化,但肯定会感到报告问题损害了对这种关系的信任.

所以如果你发现自己处于同一个位置,请小心,花点时间来解释问题,并为一个不太理想的回应做好准备.

解决方法

提出来.如果它破坏了关系,现在比现在公司的关系更加密切,所以当他们被关入下个星期天的时候,它也会伤害你.

猜你在找的MsSQL相关文章