Sei assunto per riparare un piccolo bug per un sito che richiede molta sicurezza. Guardando il codice, è pieno di buchi di sicurezza. cosa fai? [chiuso]

109

Sono stato assunto da qualcuno per fare un piccolo lavoro su un sito. È un sito per una grande azienda. Contiene dati molto sensibili, quindi la sicurezza è molto importante. Dopo aver analizzato il codice, ho notato che è pieno di falle di sicurezza - leggi, molti file PHP che lanciano l'input get / post dell'utente direttamente nelle richieste mysql e nei comandi di sistema.

Il problema è che la persona che ha creato il sito per lui è un programmatore con famiglia e figli che dipendono da quel lavoro. Non posso semplicemente dire: "il tuo sito è un parco divertimenti con script kiddie, permettimi di rifarlo per te e starai bene."

Che cosa faresti in questa situazione?

Aggiornamento:

Ho seguito alcuni buoni consigli qui e gentilmente riferito allo sviluppatore che ho trovato alcuni possibili difetti di sicurezza sul sito. Ho fatto notare la linea e ho detto che potrebbe esserci una possibile vulnerabilità per gli attacchi SQL injection lì, e ho chiesto se ne fosse a conoscenza. Ha risposto: "certo, ma penso che per sfruttarlo l'hacker dovrebbe avere informazioni sulla struttura del database, devo capire meglio" .

Aggiornamento 2:

Ho detto che non è sempre il caso e mi ha suggerito di seguire questo link per la domanda di overflow dello stack per gestirlo correttamente: Come prevenire l'SQL injection in PHP? Ha detto che lo studierà e mi ha ringraziato per avergli parlato prima. Credo che la mia parte sia finita, grazie ragazzi.

    
posta MaiaVictor 04.03.2013 - 20:26
fonte

0 risposte

Leggi altre domande sui tag