Güvenlik yoğun bir site için küçük bir hatayı düzeltmek için işe alındınız. Şifreye bakıldığında, güvenlik delikleriyle dolu. Ne yaparsın? [kapalı]

Bir sitede küçük işler yapmak için birileri tarafından işe alındım. Büyük bir şirket için bir site. Çok hassas veriler içeriyor, bu yüzden güvenlik çok önemli. Kodu analiz ettikten sonra, güvenlik delikleriyle dolu olduğunu fark ettim - okudum, bir çok PHP dosyasını doğrudan / mysql isteklerine ve sistem komutlarına girdi / yazarak girdi.

Sorun şu ki, siteyi kendisi için yapan kişi, bu işe bağımlı olan aile ve çocukları olan bir programcıdır. Ben sadece söyleyemem: "siteniz bir senaryo kiddie eğlence parkı. Sizin için tekrar yapmama izin verin ve iyi olacaksınız."

Bu durumda ne yapardın?

Güncelleme:

Burada bazı iyi tavsiyelere uydum ve geliştiriciye sitedeki bazı olası güvenlik kusurlarını bulduğumu kibarca söyledim. Çizgiyi belirttim ve orada SQL enjeksiyon saldırıları için olası bir güvenlik açığı olabileceğini söyledim ve bunu biliyor mu diye sordum. O, “Elbette, ama bundan yararlanmak için saldırganın veritabanının yapısı hakkında bilgi sahibi olması gerektiğini; daha iyi anlamam gerektiğini” söyledi .

Güncelleme 2:

Her zaman böyle olmadığını söyledim ve doğru şekilde başa çıkmak için bu Yığın Taşması soru bağlantısını izlemesini önerdim: PHP'de SQL enjeksiyonunu nasıl önleyebilirim? Çalışacağını söyledi ve daha önce söylediğim için teşekkür etti. Sanırım benim işim bitti, teşekkürler beyler.

Öncelikle burada en önemlisi, güvenlik deliklerini kapatmak önceliktir.

Doğrudan bunu yazan mühendisle çalışıyorsanız, her şeyi belgeleyin ve o mühendise verin.

Olmazsa, işvereninize güvenlik konularının başlangıçta düşünülenden daha büyük olduğunu ve sitenin çok fazla çalışma gerektirdiğini söyleyin . Sitede bulunan ana geliştirici ile birlikte çalışmayı ve onlara PHP güvenliği hakkında bilgi vermeyi teklif et işin bittikten sonra.

Bunu "bu adam kötü, kov onu" meselesi yapmayın . "Hey, site güvenliği ile ilgili bazı cehalet / genel yanlış anlamalardan kaynaklanıyor gibi görünen stat stat'ünü düzeltmek için bazı potansiyel hatalar buldum. Sitenizi geliştirebilmemiz için gelişiminizle de görüşmek istiyorum. ve umarım gelecekte bu sorunlardan daha fazla kaçının. "

Cehalet ve beceriksizlik arasında bir fark var. Hangi SQL enjeksiyonunun ne olduğunu bilmediğiniz bir zaman vardı ve orijinal programcının sorunları kendilerine bildirdikten sonra düzeltebilecek kapasitede olduğuna inanmak için hiçbir neden yoktu.

Öyleyse onlara söyle. Belirli ve objektif olun ve soruları yanıtlamak, istismar örnekleri sunmak ve düzeltmeler için önerilerde bulunmak için hazır olun. Bu noktadan sonra hala alamadılarsa, gerçekten yapabileceğiniz en fazla şey kişisel bilgilerinizi siteye koymak değildir.

İşiniz siteyi onun için tekrarlamak değil. Küçük hatayı düzeltmek için. Bununla birlikte, düzeltilmesi gereken güvenlik sorunlarını fark ettiyseniz, sorunu site sahibine bulabilir ve sorunun ne olabileceği hakkında fikir edinebilirsiniz.

Orijinal geliştirici hakkında olumsuz konuşma veya olumsuz konuşma ya da kodun ne kadar korkunç olduğu konusunda yorum yapma. Saygılı ve profesyonel olun. Sorunları çözmek için geliştirici ile birlikte çalışmayı önerebilirsiniz. Sorunu çözmediğiniz sürece kendiniz tamir etmeye ya da bir çözüm sunmaya çalışmayın. Tavsiyene uyuyorlarsa ve yanılıyorsan, sana geri dönebilirler.

İlk ve en önemlisi - sizi işe aldıkları şeyi düzeltin. Bunu yapmazsanız, o zaman işi yapmak yerine kendileri için daha fazla iş yapmak isteyen ilgilenen bir danışman türü olarak algılanırsınız.

Düzeltmelerin yanı sıra, onlara güvenlik açısından yanlış olduğunu fark ettiğiniz şeylerin bir listesini ve bunların neden yanlış olduğunu da göstermelisiniz.

Sorunları bildirmemek iyi bir şey yapmaz. Belirli bir göreviniz varsa, işe almanız için işe alındınız, ancak gördüğünüz diğer güvenlik sorunlarını belgeleyin ve uygun bir kişiye, muhtemelen işe alındığınız görev için rapor verdiğiniz kişiye bildirin.

Bu, güçlü yumuşak becerilerin işe yarayacağı ve bununla başa çıkmak için kullanışlı olacağı bir durumdur, bu da sitedeki diğer kişilerin yaptıkları işleri yapmamayı ve geliştiricinin yeteneğini sorguluyormuş gibi hissetmesini gerektirmez.

Açıkçası, siteyi yazan geliştiricinin koduna / kusurlarına ve benzer kelimelere atıfta bulunurken "bok, kötü, fakir, bilmeceli" gibi kelimelerden kaçının.

Yapmak isteyebileceğiniz diğer cevaplara ek olarak, geliştiriciyi SQL enjeksiyon sorunlarından ne kadar kolay yararlanabileceği konusunda bazı kaynaklara, örneğin otomatik bir SQL Injection kullanım aracı olan sqlmap'a yönlendirin.

Geçmişte bu tür bir sorunun ciddiyetini göstermede etkili olduğunu bulduğum şey, onunla neler yapılabileceğini göstermektir, eğer böyle bir şeyi bir deve karşı çalıştırırsanız. Sitenin bir kopyasını çıkardığını göstermek için vb. bilgileri ciddiye almanız konusunda ikna edebilirsiniz.

İlk ve tek; Yönetim problemleri duymak istemiyor. Personel Yönetimi Ofisi'nden (beyaz saray için güvenlik izni) kovuldum çünkü sistemlerinin ne kadar güvensiz olduğuna dikkat çektim. Bu bir süre önceydi, ancak yönetim tutumları değişmedi.

Geliştiriciyle ilgili sorunu e-postayla ele alın; böylece bir iz elde edersiniz, sonra yürüyün veya kaçın. Bir müteahhit olarak sonunda bir problemleri olduğunda, problemle uzaktan bile olsa herhangi bir ilişkiye sahip olsanız da sizi suçlamaya çalışacaklar.

Bir SQL enjeksiyonu kadar temel bir soruna sahip olmak, sistemi ilk geliştirdikleri zaman ucuz olduklarını ve olasılıkların şu anda en ucuza geldiklerini gösteriyor. Hala işteyken, onlardan alabildiklerini al, ama başka yerlerde iş geliştirmeye çalış.