Вас наймають, щоб виправити невелику помилку на інтенсивному для безпеки веб-сайті. Дивлячись на код, він заповнений отворами в безпеці. Що ти робиш? [зачинено]

Мене хтось найняв на невелику роботу на сайті. Це сайт для великої компанії. Він містить дуже чутливі дані, тому безпека дуже важлива. Проаналізувавши код, я помітив, що він заповнений дірками в безпеці - читайте, багато PHP-файлів, які кидають користувачеві вхід / повідомлення безпосередньо в запити mysql та системні команди.

Проблема в тому, що людина, яка створила для нього сайт, - це програміст із сім’єю та дітьми, які залежать від цієї роботи. Я не можу просто сказати: "Ваш сайт - це парк розваг для дітей, який займається сценарієм. Дозвольте повторити його для вас, і ви будете добре".

Що б ви зробили в цій ситуації?

Оновлення:

Я дотримувався тут декількох добрих порад і ввічливо повідомляв розробнику, що знайшов на сайті можливі вади безпеки. Я вказав на рядок і сказав, що там може бути можлива вразливість для атак ін'єкцій SQL, і запитав, чи знає він про це. Він відповів: "впевнений, але я вважаю, що для його використання зловмисник повинен мати інформацію про структуру бази даних; я повинен краще зрозуміти" .

Оновлення 2:

Я сказав, що це не завжди так, і запропонував він перейти за цим посиланням на питання Stack Overflow, щоб правильно вирішити його: Як запобігти введенню SQL в PHP? Він сказав, що вивчить це, і подякував мені за те, що раніше йому розповів. Я думаю, моя частина виконана, дякую хлопці.

Перш за все, тут пріоритет - закриття отворів у безпеці.

Якщо ви працюєте безпосередньо з інженером, який це написав, задокументуйте все та надайте цьому інженеру.

Якщо ні, то скажіть своєму роботодавцю, що проблеми безпеки є більшими, ніж вважалося спочатку, і що над сайтом потрібно багато роботи. Попросіть співпрацювати з головним розробником, який знаходиться на сайті, і запропонуйте навчити їх щодо безпеки PHP (не обіцяйте робити людину експертом, але пропонуйте навчити їх усьому, що знаєте), щоб людина могла перейняти це після того, як ви закінчите.

Не робіть цього питання "цей хлопець поганий, звільни його". Підійдіть до нього з точки зору "Ей, я знайшов потенційних помилок, які потребують виправлення статистики, які, мабуть, походять від незнання / поширених помилок щодо безпеки сайту. Я також хотів би поговорити з вашою розробкою, щоб ми могли покращити ваш сайт і, сподіваємось, уникнути більше цих питань у майбутньому ".

Існує різниця між незнанням і некомпетентністю. Був час, коли ви не знали, що таке ін'єкція SQL, і немає підстав вважати, що оригінальний програміст не в змозі виправити проблеми, як тільки він про них дізнається.

Тож скажи їм. Будьте конкретні та об'єктивні, і будьте доступні для відповіді на запитання, надання прикладів подвигів та рекомендацій щодо виправлень. Якщо вони все-таки не отримають його після цього, найбільше ви дійсно можете зробити це не розміщувати будь-яку власну особисту інформацію на сайті.

Ваше завдання не переробляти сайт для нього. Це виправити маленьку помилку. Однак, якщо ви помітили проблеми із безпекою, які слід виправити, ви можете повідомити про це власника сайту та запропонувати зрозуміти, яка проблема може бути.

Не лайте і не говоріть негативно про оригінального розробника чи коментуйте, наскільки жахливий код. Будьте поважними та професійними. Ви можете запропонувати співпрацювати з розробником, щоб вирішити проблеми. Не намагайтеся виправити це самостійно або не пропонуйте рішення, якщо у вас не буде укладено договір для вирішення проблеми. Якщо вони дотримуються ваших порад, і ви помиляєтесь, вони можуть повернутися до вас.

Перше і головне - зафіксуйте те, за що вони вас найняли. Якщо ви цього не зробите, то вас сприймуть як тип консультанта, який зацікавлений у тому, щоб зробити більше роботи для себе, а не виконувати роботу.

Поряд з виправленнями, ви повинні надати їм список речей, які ви помітили, що це неправильно з точки зору безпеки, і чому ці речі неправильні.

Нікому не принесе користі, щоб не повідомити про проблеми. Якщо у вас було певне завдання, ви найняли його для виконання, але документуйте інші проблеми безпеки, як ви їх бачите, та повідомляйте про них відповідній особі, можливо, особі, про яку ви повідомляєте, про завдання, за яке ви найняли.

Це ситуація, коли сильні м'які навички стануть корисними, оскільки для вирішення цього питання з тактом потрібно буде не відкладати роботу, виконану іншими на сайті, і не змушувати розробника відчувати себе так, ніби ви ставите під сумнів його талант.

Очевидно уникайте таких слів, як "лайно, погано, погано, позбавлено", коли посилаєтесь на код / ​​недоліки та подібні слова для розробника, який написав сайт.

На додаток до інших відповідей, що ви можете зробити, це вказати розробнику на деякі ресурси на те, як легко можна використовувати проблеми з інжекцією SQL , наприклад sqlmap, який є автоматизованим інструментом експлуатації SQL Injection.

Те, що я виявив ефективним у демонстрації серйозності подібних питань у минулому, - це те, що можна зробити з цим, тож якщо ти запустиш щось подібне проти диявола. копія сайту, щоб показати, як вона витягує дані тощо, ви можете переконати їх у серйозності.

Перший і єдиний; Керівництво не хоче чути про проблеми. Мене звільнили з Управління управління персоналом (дозволу на безпеку для білого дому), оскільки я зазначив, наскільки небезпечна їхня система. Це було трохи назад, але ставлення до менеджменту не змінилося.

Вирішіть проблему з розробником електронною поштою, щоб у вас залишився слід, а потім піти чи тікати. Коли вони все-таки матимуть проблеми, як підрядник, вони спробують звинуватити вас, незалежно від участі в роботі, навіть віддаленому підключенні до проблеми.

Проблема настільки фундаментальна, як ін'єкція SQL, вказує на те, що вони спочатку розробили систему дешево, і шанси на те, що вони в кращому випадку дешеві. Отримайте все, що зможете, від них, поки вони ще працюють, але шукайте розвитку бізнесу в іншому місці.