Abbiamo un sito web e qualcuno ci ha scritto un'e-mail affermando che siamo insicuri!
Che cosa dovrei fare
Stai calmo e sii gentile con la persona che segnala questo. Se ti stanno contattando, vogliono solo aiutare, quindi non minacciarli.
Inoltre, non ignorarli, assicurati che capiscano che sei interessato a risolverli. Spiega loro che hai bisogno di tempo per farlo; idealmente puoi dare loro un periodo di tempo in cui pensi di poterlo aggiustare (in questo momento, non sembra che tu possa stimarlo, ma tienilo presente per gli incidenti futuri).
Se non comprendi pienamente ciò che ti stanno dicendo, puoi chiedere chiarimenti e una dimostrazione del concetto (anche se assicurati di formularlo in un modo che non sembri esigente. A seconda del paese in cui si trovano, questo potrebbe causare loro problemi legali).
Se non hai sviluppatori in grado di risolvere questo problema, o assumere qualcuno esterno o chiedere agli sviluppatori di leggere su problemi di sicurezza comuni e su come risolverli (in particolare SQL injection) per la lingua (e / o piattaforma, software, librerie , ecc.) che usi.
La prima cosa è seguire il consiglio di Tim in merito alla risposta al tuo contatto. Se non è chiaro quale sia la natura del problema, varrebbe la pena di chiedere loro maggiori informazioni in quanto sembrano interessati ad aiutare.
Sospetto che dal momento che chiedi qui non hai accesso agli sviluppatori con esperienza di sviluppo sicuro o di un dipartimento IT su cui fare affidamento? Questo ti lascia le opzioni per ottenere esperienza esterna, o se questa non è un'opzione, il tuo sviluppatore (tu?) Sta cercando di mettersi al passo.
Se conosci la natura del problema, segui il link alla Top 10 di OWASP in basso e rispondi. Se non è nella lista probabilmente vale la pena postare un'altra domanda. Altrimenti, inizia in cima alla lista e lavora attraverso di loro. Capisco se possono essere la causa.
Suggerisci di iniziare a leggere su OWASP per informazioni generali: link
I problemi più comuni nella mia esperienza sono: XSS, iniezioni Sql, mancanza di crittografia, scarsa gestione dell'autenticazione, sessioni e autorizzazione.
Puoi trovare il Top 10 OWASP qui: link
Penso che solo un URL non sia sufficiente per dimostrare che il tuo sito non è sicuro (nella maggior parte dei casi).
Suppongo che tu non possa conoscere né l'architettura di sicurezza né la funzionalità del tuo sito, ti suggerisco di prendere le cose ( URL segnalato ) al tuo dipartimento IT. Sarebbe bello se fossero in grado di identificare il problema.
Se non chiedi al critico più informazioni (difendendo la tua sicurezza allo stesso tempo ottenendo le informazioni che hanno come base) e trasmettile alla tua squadra. Se identificano che si tratta di un problema di sicurezza, chiedigli di iniziare a lavorare sulla correzione. Aggiorna il critico che lo stai aggiustando. E non dimenticare di ringraziarlo per avertelo detto!
Leggi altre domande sui tag web-application attacks vulnerability incident-response