Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Inside

SQL Injection

Por , em ASP Clássico

Recommended Posts

Inside    2

Inside
Postado

A todos que conhecem o SQL Injection.Descobri uma falha de SQL Injection, no site de uma importante Empresa, empresa esta de renome nacional.Minha dúvida é se seria ético entrar em contato com a empresa e explanar o problema.Seria ético explanar o problema e depois enviar um orçamento para concertar o erro?Seria ético mostrar para a instituição em questão, que, a empresa que administra seu site, não entende ou não se preocupa com o SQL Injection?Como eu deveria abordar tal empresa para explanar o problema?Meu informe do problema seria recebido com credibilidade?Gostaria de iniciar esta discussão. Acredito que um discussão sobre isto ajudaria muito a todos que queiram ajudar as empresas a solucionar tal tipo de problema e discutindo talvez cheguemos a um consenso sobre como devemos proceder diante de um caso destes.Espero que esta discussão seja útil a toda a comunidade de desenvolvedores.Obrigado pela atenção recebida.

Compartilhar este post

Link para o post
Compartilhar em outros sites

mkboy    1

mkboy
Postado

Se você entrar em contato... expor os riscos... eles não fecharem com você... e o site é atacado...sobre quem cai as suspeitas?Acho isso mais complicado... do que parece... logo aparece uma boa dica...

Compartilhar este post

Link para o post
Compartilhar em outros sites

Inside    2

Inside
Postado

Caro mkboy,Realmente você tem razão. Se entrar em contato e expor os riscos é ótimo, mas o quê você acha: deve-se entrar em contato e explicar que o problema é em determinada área e erro permite exploração por SQL Injection, ou deve-se manter sigilo e só depois de empresa aceitar que você realize o trabalho, você revela o problema?Digo isto porque, se você revelar antes, certamente ela reportará o problema a empresa que administra o site inviabilizando a possibilidade de haver negócio entre quem descobriu o problema e a empresa afetada pelo erro.Obs.: Não posso revelar a empresa, também por questões éticas. E na verdade não é uma suspeita, é fato. Testei a área restrita do site e existe a falha por SQL Injection.

Compartilhar este post

Link para o post
Compartilhar em outros sites

ASP!Vb    0

ASP!Vb
Postado

entra em contato propondo consultoria de segurança, e fala que você só cobra se achar falhas...

ótima idéia http://forum.imasters.com.br/public/style_emoticons/default/joia.gif

Pode funcionar. Este contato deve ser por e-mail ou telefone?

você deve ir pessoalmente ou contratar uma promotora ou algo do tipo mas na minha opinião o contato deve ser face to face http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

Compartilhar este post

Link para o post
Compartilhar em outros sites

mkboy    1

mkboy
Postado

Uma prospecção por telefone pra descobrir quem é o fulano que cuida da área... e se possível uma visita... digamos que você será avaliado na visita... quanto mais profissional for... mais $$ pode cobrar...

Compartilhar este post

Link para o post
Compartilhar em outros sites

Inside    2

Inside
Postado

Caros ASP!Vb e mkboy.Vocês estão totalmente corretos, um primeiro contato telefônico para saber quem é o reponsável e depois um face to face seria ideal.Acho que é por ai que empresa verá o profissionalismo e o intresse que temos em solucionar ou nos propor a solucionar o problema. Totalmente profissional.Acho que isto requer até um terno, na estica.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Inside    2

Inside
Postado

E sobre a reunião, como deve ser?Deve-se ir direto ao ponto?Devse-se levar um propecto dos trabalhos anteriores?Dar uma demostração de como acessar o site com SQL Injection?

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos ASP Clássico
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito