Approccio etico sul sito web aziendale e vulnerabilità [chiuso]

2

Mi piace la sicurezza web e ho una formazione accademica al riguardo. Solo per divertimento ho trovato un sito Web (compagnia assicurativa) con vulnerabilità critiche come xss o sql injection. Ora, ovviamente li avviserò di questo problema. Ma sarebbe bello se l'azienda mi permettesse di risolvere i problemi che ho identificato come libero professionista o qualcosa del genere. Ma probabilmente contratteranno alcune società di sicurezza per fare questo lavoro e pagare un valore monetario più alto.

Qualche consiglio su questo argomento? Quale dovrebbe essere il mio approccio etico?

    
posta daniel__ 07.08.2013 - 02:56
fonte

1 risposta

6

L'approccio etico è quello di segnalare, in modo confidenziale, e di non combinare la segnalazione con una richiesta di pagamento per risolverla, che potrebbe essere vista come estorsione.

Spiega come hai trovato il problema e, possibilmente, includi dei passaggi per rimediare a ciò che hai trovato, ma lascia che siano risolti.

Come responsabile della sicurezza di una compagnia di assicurazioni, posso dirti che sarei grato di sapere del problema, ma ti chiuderei la porta in faccia se hai iniziato a provare a farlo a tuo vantaggio. Se, invece, hai lavorato con me apertamente per sistemare le cose, aiutato a ripetere i test, e in generale è stato piacevole lavorare, potrei offrirti un lavoro alla fine o, almeno, offrire una lettera di riferimento per le tue capacità e professionalità.

Alla fine, è il loro sito web, e la loro responsabilità di risolvere, o non riparare.

    
risposta data 07.08.2013 - 03:34
fonte

Leggi altre domande sui tag